Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página fornece informações sobre recursos, correções e substituições com mais de seis meses. Para obter as atualizações mais recentes, leia O que há de novo no Defender para Nuvem?.
Junho de 2025
| Date | Category | Update |
|---|---|---|
| 30 de junho | Preview | Defender para detecções de DNS de contêiner com base no Helm (versão prévia) |
| 25 de junho | Preview | Marcas de índice opcionais para armazenar resultados de verificação de malware (versão prévia) |
| 25 de junho | Preview | Descoberta de API e postura de segurança para APIs hospedadas em Aplicativos de Funções e Aplicativos Lógicos (versão prévia) |
| 25 de junho | Preview | Monitoramento de integridade de arquivos sem agente (versão prévia) |
| 18 de junho | Preview | A verificação de código sem caracteres – GitHub suporte e cobertura personalizável agora disponível (versão prévia) |
Defender para detecções de DNS de contêiner com base no Helm (versão prévia)
O que está incluído:
Suporte à implantação baseado em Helm
Para obter instruções de instalação e mais detalhes, consulte Instalar Defender do sensor de contêineres usando o Helm.
Detecções de ameaças DNS
Melhora a eficiência de memória e reduz o consumo de CPU para implantações de cluster grandes.
Para obter mais informações, consulte: Sensor for Defender for Containers Changelog.
Marcas de índice opcionais para armazenar resultados de verificação de malware (versão prévia)
25 de junho de 2025
Defender para verificação de malware de armazenamento introduz marcas de índice opcionais para verificações sob demanda e sob demanda. Com esse novo recurso, os usuários podem escolher se devem publicar resultados nas marcas de índice do blob quando um blob é verificado (padrão) ou não usar marcas de índice. As marcas de índice podem ser habilitadas ou desabilitadas no nível da assinatura e da conta de armazenamento por meio do portal do Azure ou por meio da API.
Descoberta de API e postura de segurança para APIs hospedadas em Aplicativos de Funções e Aplicativos Lógicos (versão prévia)
25 de junho de 2025
Defender para Nuvem agora estende seus recursos de descoberta de API e postura de segurança para incluir APIs hospedadas em aplicativos de funções Azure e Logic Apps, além de seu suporte existente para APIs publicadas no Gerenciamento de API do Azure.
Esse aprimoramento capacita as equipes de segurança com uma visão abrangente e continuamente atualizada da superfície de ataque da API de sua organização. As principais funcionalidades incluem:
- Inventário de APICentralizada: descobrir e catalogar automaticamente APIs em serviços de Azure com suporte.
- Avaliações de risco de segurança: identificar e priorizar riscos, incluindo a identificação de APIs inativas que podem justificar a remoção, bem como APIs não criptografadas que podem expor dados confidenciais.
Esses recursos estão automaticamente disponíveis para todos os clientes Defender para Nuvem clientes que habilitaram a extensão API Security Posture Management.
Linha do tempo de distribuição: a distribuição dessas atualizações começará em 25 de junho de 2025 e deverá chegar a todas as regiões com suporte dentro de uma semana.
Monitoramento de integridade de arquivos sem agente (versão prévia)
25 de junho de 2025
O FIM (Monitoramento de Integridade de Arquivos Sem Agente) agora está disponível na versão prévia. Essa funcionalidade complementa a solução FIM (GA) em disponibilidade geral com base no agente de Microsoft Defender para Ponto de Extremidade e apresenta suporte para monitoramento personalizado de arquivo e registro.
O FIM sem agente permite que as organizações monitorem alterações de arquivo e registro em seu ambiente sem implantar outros agentes. Ele fornece uma alternativa leve e escalonável, mantendo a compatibilidade com a solução baseada em agente existente.
As principais funcionalidades incluem:
- Monitoramento personalizado: atenda a requisitos específicos de conformidade e segurança definindo e monitorando caminhos de arquivo personalizados e chaves do Registro.
- Experiência unificada: eventos do FIM sem agente e baseado em MDE são armazenados na mesma tabela de workspace, com indicadores de origem claros.
Saiba mais sobre o monitoramento de integridade do arquivo e como habilitar o monitoramento de integridade do arquivo.
Verificação de código sem agente – suporte GitHub e cobertura personalizável agora disponível (versão prévia)
18 de junho de 2025
Atualizamos o recurso de verificação de código sem agente para incluir os principais recursos que estendem a cobertura e o controle. Essas atualizações incluem:
- Suporte para repositórios de GitHub, além de Azure DevOps
- Seleção de scanner personalizável – selecione quais ferramentas (por exemplo, Bandit, Checkov, ESLint) executar
- Configuração de escopo granular – incluir ou excluir organizações, projetos ou repositórios específicos
A digitalização de código sem agente oferece uma verificação de segurança escalável para código e infraestrutura como código (IaC) sem a necessidade de alterações nos pipelines de CI/CD. Ele ajuda as equipes de segurança a detectar vulnerabilidades e configurações incorretas sem interromper os fluxos de trabalho do desenvolvedor.
Saiba mais sobre configurando a verificação de código sem agente em Azure DevOps ou GitHub.
Maio de 2025
| Date | Category | Update |
|---|---|---|
| 28 de maio | GA | Disponibilidade geral para filtros de verificação de malware personalizáveis no upload no Defender for Storage |
| Maio de 5 | Preview | Usuário Ativo (Visualização Pública) |
| 1º de maio | GA | disponibilidade General para Defender para Serviços de IA |
| 1º de maio | GA | Microsoft Security Copilot agora está disponível em Defender para Nuvem |
| 1º de maio | GA | Painel de segurança de IA e dados de disponibilidade geral |
| 1º de maio | Alterações futuras | GPSN do Defender inicia a cobrança para Banco de Dados do Azure para MySQL servidor flexível e Banco de Dados do Azure para PostgreSQL recursos do Servidor Flexível |
Disponibilidade geral para filtros de verificação de malware personalizados no carregamento no Defender para Armazenamento
28 de maio de 2025
Agora, a verificação de malware durante o upload oferece suporte a filtros personalizáveis. Os usuários podem definir regras de exclusão para verificações de malware no upload com base em prefixos de caminho de blob, sufixos e tamanho do blob. Excluindo caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros de verificação de malware personalizáveis no upload.
Usuário Ativo (Visualização Pública)
O recurso Usuário Ativo ajuda os administradores de segurança a identificar e atribuir recomendações rapidamente aos usuários mais relevantes com base na atividade recente do painel de controle. Para cada recomendação, até três usuários ativos potenciais são sugeridos no nível de recurso, grupo de recursos ou assinatura. Os administradores podem selecionar um usuário na lista, atribuir a recomendação e definir uma data de conclusão, disparando uma notificação para o usuário atribuído. Isso simplifica os fluxos de trabalho de correção, reduz o tempo de investigação e fortalece a postura geral de segurança.
Disponibilidade geral para Defender para Serviços de IA
1 de maio de 2025
Defender para Nuvem agora dá suporte à proteção de runtime para Serviços de IA do Azure (anteriormente chamada de proteção contra ameaças para cargas de trabalho de IA).
A proteção para Serviços de IA do Azure abrange ameaças específicas a serviços e aplicativos de IA, como jailbreak, abuso de carteira, exposição de dados, padrões de acesso suspeitos e muito mais. As detecções usam sinais de Microsoft Inteligência contra Ameaças e Azure Escudos de Prompt de IA e aplicam aprendizado de máquina e IA para proteger seus serviços de IA.
Saiba mais sobre Defender para Serviços de IA.
Microsoft Security Copilot agora está disponível em Defender para Nuvem
1 de maio de 2025
Microsoft Security Copilot agora está disponível em Defender para Nuvem.
Security Copilot acelera a correção de risco para as equipes de segurança, tornando mais rápido e fácil para os administradores lidarem com os riscos de nuvem. Ele fornece resumos gerados por IA, ações de correção e emails de delegação, orientando os usuários em cada etapa do processo de redução de risco.
Os administradores de segurança podem resumir rapidamente as recomendações, gerar scripts de correção e delegar tarefas por email aos proprietários de recursos. Esses recursos reduzem o tempo de investigação, ajudam as equipes de segurança a entender os riscos no contexto e a identificar recursos para correção rápida.
Saiba mais sobre Microsoft Security Copilot no Defender para Nuvem.
Painel de segurança de IA e dados de disponibilidade geral
1 de maio de 2025
Defender para Nuvem está aprimorando o painel de segurança de dados para incluir a Segurança de IA com o novo painel de segurança de Dados e IA no GA. O painel fornece uma plataforma centralizada para monitorar e gerenciar os recursos de Dados e IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de Dados e IA incluem:
- Exibição unificada: obtenha uma visão abrangente de todos os recursos organizacionais de Dados de IA.
- Insights de dados: entenda onde seus dados estão armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção dos seus recursos de Dados e IA.
- Problemas críticos: destaque os recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resumir recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra os volumes de aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de Dados e IA.
GPSN do Defender inicia a cobrança para Banco de Dados do Azure para MySQL servidor flexível e recursos de servidor flexível Banco de Dados do Azure para PostgreSQL
1 de maio de 2025
Data estimada para alteração: Junho de 2025
A partir de 1º de junho de 2025, o Microsoft GPSN do Defender iniciará a cobrança para recursos de servidor flexível Banco de Dados do Azure para MySQL e Banco de Dados do Azure para PostgreSQL Servidor Flexível em sua assinatura em que GPSN do Defender está habilitado. Esses recursos já estão protegidos por GPSN do Defender e nenhuma ação do usuário é necessária. Depois que a cobrança for iniciada, sua fatura poderá aumentar.
Para obter mais informações, consulte o preço do plano CSPM
Abril de 2025
| Date | Category | Update |
|---|---|---|
| 29 de abril | Preview | Gerenciamento de Postura de IA no Vertex AI do GCP (versão prévia) |
| 29 de abril | Preview | Defender para Nuvem integração com Mend.io (versão prévia) |
| 29 de abril | Change | Permissões de aplicativo GitHub updados |
| 28 de abril | Change | Update para Defender para sql servers no plano computadores |
| 27 de abril | GA | Novo limite padrão para verificação de malware no carregamento em Microsoft Defender para Armazenamento |
| 24 de abril | GA | Disponibilidade geral da integração nativa do Gerenciamento de Postura de Segurança de API no Plano GPSN do Defender |
| 7 de abril | Próxima alteração | Enhancements para Defender para alertas do serviço de aplicativo |
Gerenciamento de Postura de IA no Vertex AI do GCP (versão prévia)
29 de abril de 2025
Os recursos de gerenciamento de postura de segurança de IA do Defender para Nuvem agora dão suporte a cargas de trabalho de IA na IA do Vértice do Google Cloud Platform (GCP) (versão prévia).
Os principais recursos desta versão incluem:
- Descoberta de aplicativo de IA moderno: descubra e cataloge automaticamente componentes de aplicativo de IA, dados e artefatos de IA implantados na IA do Vértice GCP.
- Fortalecimento da postura de segurança: detecte configurações incorretas e receba recomendações internas e ações de correção para aprimorar a postura de segurança de seus aplicativos de IA.
- Análise de caminho de ataque: identifique e corrija riscos usando a análise avançada do caminho de ataque para proteger suas cargas de trabalho de IA contra possíveis ameaças.
Essas funcionalidades foram projetadas para fornecer visibilidade abrangente, detecção de má configuração e fortalecimento para recursos de IA, garantindo uma redução dos riscos para cargas de trabalho de IA desenvolvidas na plataforma Vertex AI do GCP.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Defender para Nuvem integração com Mend.io (versão prévia)
29 de abril de 2025
Defender para Nuvem agora está integrado ao Mend.io na versão prévia. Essa integração aprimora a segurança do aplicativo de software identificando e mitigando vulnerabilidades em dependências de parceiros. Essa integração simplifica os processos de descoberta e correção, melhorando a segurança geral.
Saiba mais sobre a integração Mend.io.
GitHub atualização de permissões de aplicativo
29 de abril de 2025
GitHub conectores no Defender para Nuvem serão atualizados para incluir permissões de administrador para [Propriedades Personalizadas]. Essa permissão é usada para fornecer novos recursos de contextualização e tem como escopo o gerenciamento do esquema de propriedades personalizadas. As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização GitHub, navegue até os aplicativos Segurança da Microsoft DevOps em Settings > GitHub Apps e aceite a solicitação de permissões.
Em um email automatizado do suporte GitHub, selecione Review permission request para aceitar ou rejeitar essa alteração.
Observação: os conectores existentes continuarão a funcionar sem a nova funcionalidade se a ação acima não for executada.
Atualizar para Defender para sql servers no plano computadores
28 de abril de 2025
O Defender para SQL Server no plano de computadores em Microsoft Defender para Nuvem protege SQL Server instâncias hospedadas em Azure computadores locais, AWS, AWS, GCP e locais.
A partir de hoje, estamos liberando gradualmente uma solução de agente aprimorada para o plano. A solução baseada em agente elimina a necessidade de implantar o AMA (agente Azure Monitor) e, em vez disso, usa a infraestrutura SQL existente. A solução foi projetada para facilitar os processos de integração e melhorar a cobertura de proteção.
Ações necessárias do cliente:
Update Defender para configuração de plano do SQL Servers on Machines: os clientes que habilitaram Defender para SQL Server no plano de computadores antes de hoje são obrigados a seguir estas instruções para atualizar sua configuração, após a versão aprimorada do agente.
Verify SQL Server status de proteção de instâncias: com uma data de início estimada de maio de 2025, os clientes devem verificar o status de proteção de suas instâncias de SQL Server em seus ambientes. Saiba como troubleshoot quaisquer problemas de implantação Defender para SQL na configuração de computadores.
Note
Depois que a atualização do agente ocorrer, você poderá experimentar um aumento de cobrança se instâncias de SQL Server adicionais estiverem protegidas com o Defender habilitado para o plano sql servers em computadores. Para obter informações de cobrança, examine a página de preços Defender para Nuvem.
Novo limite padrão para verificação de malware ao carregar no Microsoft Defender para Armazenamento
27 de abril de 2025
O valor limite padrão para verificação de malware no carregamento foi atualizado de 5.000 GB para 10.000 GB. Esse novo limite se aplica aos seguintes cenários:
Novas assinaturas: Assinaturas em que o Defender para Armazenamento está habilitado pela primeira vez.
Assinaturas Reativadas: Assinaturas em que Defender para Armazenamento foi desabilitado anteriormente e agora está habilitado novamente.
Quando Defender para Verificação de Malware de Armazenamento estiver habilitada para essas assinaturas, o limite padrão para verificação de malware no upload será definido como 10.000 GB. Esse limite é ajustável para atender às suas necessidades específicas.
Para obter informações mais detalhadas, consulte a seção sobre verificação de malware – cobrança por GB, limite mensal e configuração
Disponibilidade geral da integração nativa do Gerenciamento de Postura de Segurança de API no Plano GPSN do Defender
24 de abril de 2025
O Gerenciamento de Postura de Segurança da API agora está disponível como parte do plano de GPSN do Defender. Esta versão apresenta um inventário unificado de suas APIs, juntamente com insights de postura, ajudando você a identificar e priorizar riscos de API de forma mais eficaz diretamente do seu plano de GPSN do Defender. Você pode habilitar essa capacidade por meio da página Configurações de Ambiente ativando a extensão de Postura de Segurança da API.
Com essa atualização, novos fatores de risco foram adicionados, incluindo fatores de risco para APIs não autenticadas (AllowsAnonymousAccess) e APIs sem criptografia (UnencryptedAccess). Além disso, as APIs publicadas por meio de Gerenciamento de API do Azure agora permitem o mapeamento de volta para quaisquer VMs e entradas do Kubernetes conectadas, fornecendo visibilidade de ponta a ponta sobre a exposição à API e suporte à correção de risco por meio da análise do caminho de ataque.
Aprimoramentos para Defender para alertas do serviço de aplicativo
7 de abril de 2025
Em 30 de abril de 2025, os recursos de alerta do Defender do Serviço de Aplicativo serão aprimorados. Adicionaremos alertas para execuções de código suspeitas e acesso a pontos de extremidade internos ou remotos. Além disso, melhoramos a cobertura e reduzimos o ruído de alertas relevantes expandindo nossa lógica e removendo alertas que estavam causando ruídos desnecessários. Como parte desse processo, o alerta "Invocação suspeita de tema do WordPress detectada" será preterido.
Março de 2025
A proteção de contêiner aprimorada com avaliação de vulnerabilidade e detecção de malware para nós do AKS agoraestá em disponibilidade geral
30 de março de 2025
Defender para Nuvem agora fornece avaliação de vulnerabilidade e detecção de malware para os nós em AKS (Serviço de Kubernetes do Azure) como GA. Fornecer proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço gerenciado do Kubernetes e entendam sua parte na responsabilidade de segurança compartilhada que eles têm com o provedor de nuvem gerenciado. Para receber os novos recursos, você precisa habilitar a verificação Aguardação sem problemas de computadores" como parte do plano GPSN do Defender, Defender para Contêineres ou Defender para Servidores P2 em sua assinatura.
Avaliação de Vulnerabilidade
Uma nova recomendação agora está disponível no portal Azure: Desaks devem ter descobertas de vulnerabilidade resolvidas. Usando essa recomendação, agora você pode examinar e corrigir vulnerabilidades e CVEs encontrados em nós AKS (Serviço de Kubernetes do Azure).
Detecção de software mal-intencionado
Novos alertas de segurança são disparados quando a funcionalidade de detecção de malware sem agente detecta malware em nós do AKS. A detecção de malware sem agente usa o mecanismo antimalware Microsoft Defender Antivírus para verificar e detectar arquivos mal-intencionados. Quando as ameaças são detectadas, os alertas de segurança são direcionados para Defender para Nuvem e Defender XDR, onde podem ser investigados e corrigidos.
Note: a detecção de malware para nós do AKS só está disponível para Defender para contêineres ou Defender para ambientes habilitados para P2 para servidores.
Implantação fechada do Kubernetes (versão prévia)
27 de março de 2025
Estamos introduzindo o recurso de implantação fechada do Kubernetes (versão prévia) no plano Defender para Contêineres. A implantação fechada do Kubernetes é um mecanismo para aprimorar a segurança do Kubernetes controlando a implantação de imagens de contêiner que violam as políticas de segurança organizacional.
Essa funcionalidade é baseada em duas novas funcionalidades:
- Artefato de descobertas de vulnerabilidade: geração de descobertas para cada imagem de contêiner verificada para avaliação de vulnerabilidade.
- Regras de segurança: adição de regras de segurança para alertar ou impedir a implantação de imagens de contêiner vulneráveis em clusters do Kubernetes.
Regras de segurança personalizadas: os clientes podem personalizar regras de segurança para vários ambientes, para clusters kubernetes em sua organização ou para namespaces, para habilitar controles de segurança adaptados a necessidades específicas e requisitos de conformidade.
Ações configuráveis para uma regra de segurança:
Auditoria: a tentativa de implantar uma imagem de contêiner vulnerável dispara uma ação "Auditoria", gerando uma recomendação com detalhes de violação na imagem de contêiner.
Negar: a tentativa de implantar uma imagem de contêiner vulnerável dispara uma ação "Negar" para impedir a implantação da imagem de contêiner, garantindo que apenas imagens seguras e compatíveis sejam implantadas.
Segurança de ponta a ponta: definindo a proteção contra a implantação de imagens de contêiner vulneráveis como a primeira regra de segurança, apresentamos o mecanismo de classificação segura do Kubernetes de ponta a ponta, garantindo que contêineres vulneráveis não entrem no ambiente do Kubernetes do cliente.
Para obter mais informações sobre esse recurso, consulte a visão geral da solução de Implantação Fechada.
Filtros personalizáveis de verificação de malware no upload no Defender for Storage (versão prévia)
27 de março de 2025
Agora, a verificação de malware durante o upload oferece suporte a filtros personalizáveis. Os usuários podem definir regras de exclusão para verificações de malware no upload com base em prefixos de caminho de blob, sufixos e tamanho do blob. Excluindo caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros de verificação de malware personalizáveis no upload.
Disponibilidade geral para suporte de verificação de VM sem agente para CMK no Azure
26 de março de 2025
A verificação sem agente de VMs Azure com discos criptografados cmk agora está disponível em geral. O plano GPSN do Defender e o Defender para servidores P2 oferecem suporte para verificação sem agente para VMs, agora com suporte do CMK em todas as nuvens
Saiba como verificação sem agente para VMs Azure com discos criptografados cmk.
Próxima alteração nos níveis de severidade da recomendação
11 de março de 2025
Estamos aprimorando os níveis de gravidade das recomendações para melhorar a avaliação e a priorização de riscos. Como parte dessa atualização, reavaliamos todas as classificações de severidade e introduzimos um novo nível – Crítico. Anteriormente, as recomendações eram categorizadas em três níveis: Baixo, Médio e Alto. Com essa atualização, agora há quatro níveis distintos: Baixo, Médio, Alto e Crítico, fornecendo uma avaliação de risco mais granular para ajudar os clientes a se concentrarem nos problemas de segurança mais urgentes.
Como resultado, os clientes podem notar alterações na gravidade das recomendações existentes. Além disso, a avaliação do nível de risco, que está disponível apenas para clientes GPSN do Defender, também pode ser afetada, pois a gravidade da recomendação e o contexto do ativo são levados em consideração. Esses ajustes podem afetar o nível de risco geral.
A alteração projetada ocorrerá em 25 de março de 2025.
Disponibilidade geral do FIM (Monitoramento de Integridade de Arquivos) com base em Microsoft Defender para Ponto de Extremidade no Azure Governamental
03 de março de 2025
O Monitoramento de Integridade de Arquivos com base em Microsoft Defender para Ponto de Extremidade agora é GA no GCCH (Azure Governamental) como parte do Defender para Servidores Plano 2.
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Essa experiência de FIM aprimorada substitui a existente que define a substituição pela desativação do MMA (Agente Log Analytics). A experiência FIM sobre MMA permanecerá com suporte em Azure Governamental até o final de março de 2023.
Com esta versão, uma experiência no produto será lançada para permitir que você migre sua configuração do FIM pelo MMA para o novo FIM por Defender para a versão do Ponto de Extremidade.
Para obter informações sobre como habilitar o FIM em Defender para Ponto de Extremidade, consulte File Integrity Monitoring usando Microsoft Defender para Ponto de Extremidade. Para obter informações sobre como desabilitar versões anteriores e usar a ferramenta de migração, consulte Migrar Monitoramento de Integridade de Arquivos de versões anteriores.
Important
No momento, não há suporte para a disponibilidade do Monitoramento de Integridade de Arquivos em Azure operado pela 21Vianet e em nuvens GCCM.
Fevereiro de 2025
| Date | Category | Update |
|---|---|---|
| 27 de fevereiro | Change | Exibição aprimorada do Nome do Recurso EC2 do AWS |
| 27 de fevereiro | GA | verificação de malware On demand no Microsoft Defender for Storage |
| 27 de fevereiro | GA | Defender verificação de malware de armazenamento para blobs de até 50 GB |
| 23 de fevereiro | Preview | Avaliação de vulnerabilidade sem agente e independente de registro de contêineres para contêineres em execução no AKS (versão prévia) |
| 23 de fevereiro | Preview | Painel de segurança de dados e IA (versão prévia) |
| 19 de fevereiro | Preview | Calculadora de custos do MDC (versão prévia) |
| 19 de fevereiro | Preview | Cobertura de 31 novos e aprimorados padrões regulatórios multinuvem |
Exibição aprimorada do Nome do Recurso EC2 do AWS
27 de fevereiro de 2025
Data estimada para alteração: Março de 2025
Estamos aprimorando como os nomes de recursos são mostrados para instâncias do AWS EC2 em nossa plataforma. Se uma instância EC2 tiver uma marca de "nome" definida, o campo Nome do Recurso exibirá agora o valor dessa marca. Se nenhuma marca de "nome" estiver presente, o campo Nome do Recurso continuará a mostrar a ID da instância como antes. A ID do Recurso ainda estará disponível no campo ID do Recurso para referência.
O uso da marca "name" EC2 permite que você identifique facilmente seus recursos com nomes personalizados e significativos em vez de IDs. Isso torna mais rápido localizar e gerenciar instâncias específicas, reduzindo o tempo e o esforço gastos pesquisando ou fazendo referência cruzada aos detalhes da instância.
Verificação de malware sob demanda no Microsoft Defender para Armazenamento
27 de fevereiro de 2025
A verificação de malware sob demanda no Microsoft Defender para Armazenamento, agora em GA, permite a verificação de blobs existentes em contas Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas na interface do usuário do portal Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, guias estratégicos de Automação e scripts do PowerShell. Esse recurso usa Microsoft Defender Antivírus com as definições de malware mais recentes para cada verificação e fornece estimativa de custo inicial no portal do Azure antes da verificação.
Casos de uso:
- Resposta a incidentes: examine contas de armazenamento específicas depois de detectar atividades suspeitas.
- linha de base Security: verifique todos os dados armazenados ao habilitar pela primeira vez Defender para Armazenamento.
- Conformidade: defina a automação para agendar verificações que ajudam a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte a Verificação de malware sob demanda.
Defender para verificação de malware de armazenamento para blobs de até 50 GB
27 de fevereiro de 2025
Defender para verificação de malware de armazenamento agora dá suporte a blobs de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado no total de GB escaneados por mês. Para obter mais informações, consulte Controle de custo para verificação de malware no upload.
Avaliação de vulnerabilidade sem agente independente do registro de contêineres para contêineres de runtime do AKS (versão prévia)
23 de fevereiro de 2025
Defender para contêineres e planos do CSPM (Gerenciamento de Postura de Segurança) do Defender para Nuvem, agora incluem a avaliação de vulnerabilidade sem agente independente do registro de contêineres para contêineres de runtime do AKS. Esse aprimoramento estende a cobertura de avaliação de vulnerabilidade para incluir a execução de contêineres com imagens de qualquer registro (não restrito a registros com suporte), além de verificar complementos do Kubernetes e ferramentas de terceiros em execução em seus clusters do AKS. Para habilitar esse recurso, certifique-se de que Verificação de computador sem caracteres está habilitada para sua assinatura nas configurações de ambiente Defender para Nuvem.
Painel de segurança de Dados e IA (versão prévia)
23 de fevereiro de 2025
Defender para Nuvem está aprimorando o painel de segurança de dados para incluir a Segurança de IA com o novo painel de segurança de Dados e IA na Versão Prévia. O painel fornece uma plataforma centralizada para monitorar e gerenciar os recursos de Dados e IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de Dados e IA incluem:
- Exibição unificada: obtenha uma visão abrangente de todos os recursos organizacionais de Dados de IA.
- Insights de dados: entenda onde seus dados estão armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção dos seus recursos de Dados e IA.
- Problemas críticos: destaque os recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resumir recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra os volumes de aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de Dados e IA.
Calculadora de Custos do MDC (Versão prévia)
19 de fevereiro de 2025
Estamos entusiasmados em apresentar nossa nova Calculadora de Custos do MDC para ajudá-lo a estimar facilmente os custos associados à proteção de seus ambientes de nuvem. Essa ferramenta foi desenvolvida para fornecer uma compreensão clara e precisa de suas despesas, garantindo que você possa planejar e fazer um orçamento de forma eficaz.
Por que usar a calculadora de custos?
Nossa calculadora de custos simplifica o processo de estimativa de custos, permitindo que você defina o escopo de suas necessidades de proteção. Você seleciona os ambientes e os planos que quer habilitar, e a calculadora preenche automaticamente os recursos faturáveis para cada plano, incluindo os descontos aplicáveis. Você terá uma visão abrangente dos seus possíveis custos sem surpresas.
Principais recursos:
Definição de escopo: Selecione os planos e ambientes que lhe interessam. A calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente.
Ajustes automáticos e manuais: A ferramenta permite a coleta automática de dados e ajustes manuais. Você pode modificar a quantidade unitária e os níveis de desconto para ver como as alterações afetam o custo total.
Estimativa de custo abrangente: A calculadora fornece uma estimativa para cada plano e um relatório de custo total. Você recebe uma análise detalhada dos custos, facilitando a compreensão e o gerenciamento de suas despesas.
Suporte multinuvem: Nossa solução funciona para todas as nuvens com suporte, garantindo que você obtenha estimativas de custo precisas, independentemente do seu provedor de nuvem.
Exportar e compartilhar: Depois de ter sua estimativa de custo, você poderá exportá-la e compartilhá-la facilmente para planejamento e aprovações orçamentárias.
Cobertura de 31 novos e aprimorados padrões regulatórios multinuvem
19 de fevereiro de 2025
Estamos entusiasmados em anunciar o suporte aprimorado e expandido de mais de 31 estruturas regulatórias e de segurança em Defender para Nuvem em Azure, AWS & GCP. Esse aprimoramento simplifica o caminho para alcançar e manter a conformidade, reduz o risco de violações de dados e ajuda a evitar multas e danos à reputação.
As estruturas novas e aprimoradas são:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| EU Regulamento Geral sobre a Proteção de Dados (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controles CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Estrutura de Controles de Segurança do Cliente da SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificação de modelo de maturidade de segurança cibernética (CMMC) Nível 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canadá Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles de nuvem do CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Política de Segurança dos Serviços de Informações de Justiça Criminal v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Lei Geral de Proteção de Dados (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Lei Sarbanes Oxley 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Isso une as versões recentes do CIS AKS (Serviço de Kubernetes do Azure) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 e CIS Amazon Elastic Kubernetes Service (EKS) v.15 de alguns meses atrás.
Para obter mais informações sobre Defender para Nuvem oferta de Conformidade Regulatória, Learn mais>
Janeiro de 2025
| Date | Category | Update |
|---|---|---|
| 30 de janeiro | GA | Atualizar para verificar critérios de registros de contêiner |
| 29 de janeiro | Change | Aprimoramentos para a varredura de Avaliação de Vulnerabilidades em Contêineres, da plataforma MDVM |
| 27 de janeiro | GA | Permissões adicionadas ao conector GCP para dar suporte a plataformas de IA |
| 20 de janeiro | Change | Aprimoramentos para a recomendação de Linhas de Base do Linux, da plataforma GC |
Atualização dos critérios de varredura para registros de contêineres
30 de janeiro de 2025
Estamos atualizando um dos critérios de verificação para imagens do Registro na recomendação de visualização para imagens do Registro em todas as nuvens e registros externos (Azure, AWS, GCP, Docker, JFrog).
O que está mudando?
Atualmente, reanalisamos as imagens por 90 dias após serem enviadas para um registro. Isso será alterado para realizar a varredura nos últimos 30 dias.
Note
Não há alterações nas recomendações de GA relacionadas à avaliação de vulnerabilidades (VA) em contêineres para imagens de registro.
Aprimoramentos para a varredura de Avaliação de Vulnerabilidades em Contêineres, da plataforma MDVM
29 de janeiro de 2025
Estamos empolgados em anunciar aprimoramentos na cobertura da nossa varredura de avaliação de vulnerabilidades em contêineres com as seguintes atualizações:
Linguagens de programação adicionais: agora dá suporte a PHP, Ruby e Rust.
Extended Java Language Support: inclui a verificação de JARs explodidas.
Melhor uso de memória: desempenho otimizado ao ler arquivos de imagem de contêiner grandes.
Permissões adicionadas ao conector GCP para dar suporte a plataformas de IA
27 de janeiro de 2025
O conector GCP agora tem permissões adicionais para dar suporte à Plataforma de IA do GCP (IA do Vértice):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Aprimoramentos para a recomendação de Linhas de Base do Linux, da plataforma GC
20 de janeiro de 2025
Estamos aprimorando o recurso Linhas de Base do Linux (da plataforma GC) para melhorar sua precisão e cobertura. Durante o mês de fevereiro, você pode notar mudanças, como nomes de regras atualizados e regras adicionais. Essas melhorias foram projetadas para tornar a avaliação de linhas de base mais precisa e atualizada. Para obter mais informações sobre as alterações, consulte o blog relevante
Algumas das mudanças podem incluir alterações adicionais de "visualização pública". Esta atualização é benéfica para você e queremos mantê-lo informado. Se preferir, você pode optar por não receber esta recomendação, isentando-a de seu recurso ou removendo a extensão da GC.
Dezembro de 2024
| Date | Category | Update |
|---|---|---|
| 31 de dezembro | GA | Alterações no intervalo de verificação de conectores de nuvem existentes |
| 22 de dezembro | GA | Microsoft Defender para Ponto de Extremidade atualização de versão do cliente é necessária para receber a experiência do FIM (Monitoramento de Integridade do Arquivo) |
| 17 de dezembro | Preview | Integrate Defender para Nuvem CLI com ferramentas populares de CI/CD |
| 10 de dezembro | GA | Defender para Nuvem Experiência de instalação |
| 10 de dezembro | GA | opções de intervalo Revisado para verificação Defender para Nuvem de um ambiente de nuvem |
| 17 de dezembro | GA | Os recursos de verificação Sensitivity agora incluem Azure compartilhamentos de arquivos |
Alterações no intervalo de verificação dos conectores de nuvem existentes
31 de dezembro de 2024
No início deste mês, um update foi publicado sobre as opções de intervalo de Defender para Nuvem revisadas para verificar um ambiente de nuvem. A configuração do intervalo de verificação determina com que frequência os serviços de descoberta do Defender para Nuvem verificam seus recursos de nuvem. Essa alteração garante um processo de verificação mais equilibrado, otimizando o desempenho e minimizando o risco de atingir os limites da API.
As configurações de intervalo de verificação para conectores de nuvem AWS e GCP existentes serão atualizadas para garantir Defender para Nuvem capacidade de verificar seus ambientes de nuvem.
Os seguintes ajustes serão feitos:
- Intervalos atualmente definidos entre 1 e 3 horas serão atualizados para 4 horas.
- Intervalos definidos como 5 horas serão atualizados para 6 horas.
- Intervalos definidos entre 7 a 11 horas serão atualizados para 12 horas.
- Intervalos de 13 horas ou mais serão atualizados para 24 horas.
Se preferir um intervalo de verificação diferente, você poderá ajustar conectores de nuvem usando a página de configurações de ambiente. Essas alterações serão aplicadas automaticamente a todos os clientes no início de fevereiro de 2025 e nenhuma ação adicional será necessária.
Os recursos de verificação de confidencialidade agora incluem Azure compartilhamentos de arquivos
17 de dezembro de 2024
As funcionalidades de verificação de confidencialidade do CSPM (Gerenciamento de Postura de Segurança) da Defender para Nuvem agora incluem Azure compartilhamentos de arquivos em GA, além de contêineres de blob.
Antes dessa atualização, habilitar o plano GPSN do Defender em uma assinatura verificaria automaticamente contêineres de blob em contas de armazenamento em busca de dados confidenciais. Com essa atualização, Defender para o recurso de verificação de confidencialidade do CSPM agora inclui compartilhamentos de arquivos dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção das contas de armazenamento confidenciais, fornecendo uma análise mais abrangente dos riscos potenciais.
Saiba mais sobre a verificação de confidencialidade.
Integrar Defender para Nuvem CLI com ferramentas populares de CI/CD
Defender para Nuvem integração de verificação da CLI com ferramentas populares de CI/CD no Microsoft Defender para Nuvem agora está disponível para visualização pública. A CLI agora pode ser incorporada em pipelines de CI/CD para verificar e identificar vulnerabilidades de segurança no código-fonte em contêineres. Esse recurso auxilia as equipes de desenvolvimento na detecção e no endereçamento de vulnerabilidades de código durante a execução do pipeline. Ele requer autenticação para Microsoft Defender para Nuvem e modificações no script de pipeline. Os resultados da verificação serão carregados para Microsoft Defender para Nuvem, permitindo que as equipes de segurança os exibam e os correlacionem com contêineres no registro de contêiner. Essa solução fornece insights contínuos e automatizados para agilizar a detecção e a resposta de riscos, garantindo a segurança sem interromper os fluxos de trabalho.
Casos de uso:
- Verificação de pipeline em ferramentas de CI/CD: monitore com segurança todos os pipelines que invocam a CLI.
- Detecção de vulnerabilidades antecipada: os resultados são publicados no pipeline e enviados para Microsoft Defender para Nuvem.
- Insights contínuos de segurança: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem prejudicar a produtividade.
Para obter mais informações, consulte Integrate Defender para Nuvem CLI com ferramentas populares de CI/CD.
experiência de instalação do Defender para Nuvem
10 de dezembro de 2024
A experiência de Instalação permite que você inicie suas etapas iniciais com Microsoft Defender para Nuvem conectando ambientes de nuvem, como infraestrutura de nuvem, repositórios de código e registros de contêiner externos.
Você é orientado durante a configuração do seu ambiente de nuvem para proteger seus ativos com planos de segurança avançados, realizar ações rápidas para aumentar a cobertura de segurança em escala, ficar ciente de problemas de conectividade e ser notificado sobre novas funcionalidades de segurança. Você pode navegar até a nova experiência no menu Defender para Nuvem selecionando Setup.
Opções de intervalo revisadas para verificação Defender para Nuvem de um ambiente de nuvem
10 de dezembro de 2024
As opções de intervalo de verificação para conectores de nuvem associados ao AWS, GCP, Jfrog e DockerHub foram revisadas. O recurso de intervalo de verificação permite controlar a frequência em que o Defender para Nuvem inicia uma verificação do ambiente de nuvem. Você pode definir o intervalo de verificação para 4, 6, 12 ou 24 horas ao adicionar ou editar um conector de nuvem. O intervalo de verificação padrão para novos conectores continua sendo de 12 horas.
Microsoft Defender para Ponto de Extremidade atualização de versão do cliente é necessária para receber a experiência de FIM (Monitoramento de Integridade de Arquivo)
Junho de 2025
A partir de junho de 2025, o FIM (Monitoramento de Integridade de Arquivos) requer um Defender mínimo para a versão do cliente do Ponto de Extremidade (MDE). Verifique se você está no mínimo nas seguintes versões de cliente para continuar se beneficiando da experiência do FIM no Microsoft Defender para Nuvem: para Windows: 10.8760, para Linux: 30.124082. Saiba mais
Novembro de 2024
Os recursos de verificação de confidencialidade agora incluem Azure compartilhamentos de arquivos (versão prévia)
28 de novembro de 2024
As funcionalidades de verificação de confidencialidade do CSPM (Gerenciamento de Postura de Segurança) da Defender para Nuvem agora incluem Azure compartilhamentos de arquivos (em versão prévia) além de contêineres de blob.
Antes dessa atualização, habilitar o plano GPSN do Defender em uma assinatura verificaria automaticamente contêineres de blob em contas de armazenamento em busca de dados confidenciais. Com essa atualização, Defender para o recurso de verificação de confidencialidade do CSPM agora inclui compartilhamentos de arquivos dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção das contas de armazenamento confidenciais, fornecendo uma análise mais abrangente dos riscos potenciais.
Saiba mais sobre a verificação de confidencialidade.
Alterações no consentimento do rótulo de confidencialidade
26 de novembro de 2024
Você não precisa mais selecionar o botão de consentimento dedicado na seção "Proteção de Informações" na página "Rótulos", para se beneficiar de tipos de informações personalizadas e rótulos de confidencialidade configurados no portal Microsoft 365 Defender ou portal do Microsoft Purview.
Com essa alteração, todos os tipos de informações personalizadas e rótulos de confidencialidade são automaticamente importados para o portal Microsoft Defender para Nuvem.
Saiba mais sobre as configurações de confidencialidade de dados.
Alterações no rótulo de confidencialidade
26 de novembro de 2024
Até recentemente, Defender para Nuvem importados todos os rótulos de confidencialidade do portal de Microsoft 365 Defender que atendevam às duas seguintes condições:
- Rótulos de confidencialidade que têm o escopo definido como "Itens -> Arquivos" ou "Itens -> Emails", na seção "Definir o escopo do rótulo" na seção Proteção de Informações.
- O rótulo de confidencialidade tem uma regra de rotulagem automática configurada.
A partir de 26 de novembro de 2024, os nomes dos escopos do rótulo de confidencialidade na interface do usuário (interface do usuário) foram atualizados no portal do Microsoft 365 Defender e no portal do Microsoft Purview. Defender para Nuvem agora importará apenas rótulos de confidencialidade com o escopo "Arquivos e outros ativos de dados" aplicado a eles. Defender para Nuvem não importa mais rótulos com o escopo "Emails" aplicado a eles.
Note
Os rótulos configurados com "Itens -> Arquivos" antes dessa alteração serão migrados automaticamente para o novo escopo "Arquivos e outros ativos de dados".
Saiba mais sobre como configurar rótulos de confidencialidade.
Defender para verificação de malware de armazenamento para blobs de até 50 GB (versão prévia)
25 de novembro de 2024
Data estimada para alteração: 1º de dezembro de 2024
A partir de 1º de dezembro de 2024, Defender para verificação de malware de armazenamento <> blobs de suporte de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB verificados por mês. Para obter mais informações, consulte Controle de custo para verificação de malware no upload.
Versões atualizadas dos padrões CIS para ambientes do Kubernetes gerenciado e novas recomendações
19 de novembro de 2024
O painel de conformidade regulatória da Defender para Nuvem agora oferece versões atualizadas dos padrões do Centro de Segurança da Internet (CIS) para avaliar a postura de segurança dos ambientes gerenciados do Kubernetes.
No painel, você pode atribuir os seguintes padrões aos recursos do Kubernetes do AWS/EKS/GKE:
- CIS AKS (Serviço de Kubernetes do Azure) v1.5.0
- Serviço de Kubernetes do Google (GKE) do CIS v1.6.0
- Serviço de Kubernetes Elástico da Amazon (EKS) do CIS v1.5.0
Para garantir a melhor profundidade possível de cobertura para esses padrões, enriquecemos nossa cobertura lançando também 79 novas recomendações centradas no Kubernetes.
Para usar essas novas recomendações, atribua os padrões listados acima ou crie um padrão personalizado e inclua uma ou mais das novas avaliações nele.
Visualização pública dos eventos de processo de nuvem do Kubernetes na busca avançada
Estamos anunciando a versão prévia dos eventos de processo de nuvem do Kubernetes na busca avançada. Essa integração avançada fornece informações detalhadas sobre os eventos de processo do Kubernetes que ocorrem nos seus ambientes multinuvem. Você pode usá-lo para descobrir ameaças que podem ser observadas pelos detalhes do processo, como processos mal-intencionados invocados na sua infraestrutura de nuvem. Para obter mais informações, consulte CloudProcessEvents.
Substituição do recurso BYOL (traga sua própria licença) no Gerenciamento de Vulnerabilidades
19 de novembro de 2024
Data estimada para alteração:
3 de fevereiro de 2025: o recurso não estará mais disponível para integração de novos computadores e assinaturas.
1º de maio de 2025: o recurso será totalmente preterido e não estará mais disponível.
Como parte de nossos esforços para melhorar a experiência de segurança Defender para Nuvem, estamos simplificando nossas soluções de avaliação de vulnerabilidade. Estamos removendo o recurso "Traga sua própria licença" em Defender para Nuvem. Agora você usará conectores de Gerenciamento de Exposição Segurança da Microsoft para uma solução mais direta, integrada e completa.
Recomendamos que você faça a transição para a nova solução de conector no gerenciamento de exposição Segurança da Microsoft. Nossa equipe está aqui para ajudar você durante essa transição.
Para obter mais informações sobre como usar os conectores, consulte Overview de conexão de fontes de dados no gerenciamento de exposição Segurança da Microsoft – gerenciamento de exposição Segurança da Microsoft.
Verificação de código sem agente em Microsoft Defender para Nuvem (versão prévia)
19 de novembro de 2024
A verificação de código sem agente no Microsoft Defender para Nuvem agora está disponível para visualização pública. Ele oferece segurança rápida e escalonável para todos os repositórios em Azure DevOps organizações com um conector. Essa solução ajuda as equipes de segurança a encontrar e corrigir vulnerabilidades em configurações de código e infraestrutura como código (IaC) em ambientes Azure DevOps. Ele não requer agentes, alterações em pipelines ou interrupções nos fluxos de trabalho do desenvolvedor, simplificando a configuração e a manutenção. Ele funciona independentemente de pipelines de CI/CD (integração contínua e entrega contínua). A solução fornece insights contínuos e automatizados para acelerar a detecção e a resposta de risco, garantindo a segurança sem interromper fluxos de trabalho.
Casos de uso:
- Organization-wide scanning: Você pode monitorar com segurança todos os repositórios em organizações de Azure DevOps com um conector.
- Detecção de vulnerabilidade precoce: Localize rapidamente os riscos de código e IaC para gerenciamento proativo de riscos.
- Insights de segurança contínua: mantenha visibilidade e responda rapidamente em ciclos de desenvolvimento sem afetar a produtividade.
Para obter mais informações, consulte A verificação de código sem caracteres no Microsoft Defender para Nuvem.
Verificação de malware sob demanda no Microsoft Defender para armazenamento (versão prévia)
19 de novembro de 2024
A verificação de malware sob demanda no Microsoft Defender para Armazenamento, agora em versão prévia pública, permite a verificação de blobs existentes em contas Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas na interface do usuário do portal Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, guias estratégicos de Automação e scripts do PowerShell. Esse recurso usa Microsoft Defender Antivírus com as definições de malware mais recentes para cada verificação e fornece estimativa de custo inicial no portal do Azure antes da verificação.
Casos de uso:
- Resposta a incidentes: examine contas de armazenamento específicas depois de detectar atividades suspeitas.
- linha de base Security: verifique todos os dados armazenados ao habilitar pela primeira vez Defender para Armazenamento.
- Conformidade: defina a automação para agendar verificações que ajudam a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte a Verificação de malware sob demanda.
Suporte ao registro de contêiner do JFrog Artifactory por Defender para contêineres (versão prévia)
18 de novembro de 2024
Esse recurso estende Microsoft Defender para a cobertura de contêineres de registros externos para incluir o JFrog Artifactory. Suas imagens de contêiner do JFrog Artifactory são verificadas usando Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar ameaças à segurança e reduzir possíveis riscos à segurança.
O gerenciamento de postura de segurança de IA agora está disponível para o público em geral (GA)
18 de novembro de 2024
os recursos de gerenciamento de postura de segurança de IA do Defender para Nuvem agora estão disponíveis em geral (GA).
Defender para Nuvem reduz o risco para cargas de trabalho de IA entre nuvens:
Descobrindo a lista de materiais de IA generativa, que inclui componentes do aplicativo, dados e artefatos de IA do código para a nuvem.
Fortalecendo a postura de segurança de aplicativos de IA generativa com recomendações internas e explorando e corrigindo riscos de segurança.
Usando a análise do caminho de ataque para identificar e corrigir os riscos.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Proteção de ativos críticos no Microsoft Defender para Nuvem
18 de novembro de 2024
Hoje, estamos empolgados em anunciar a Disponibilidade Geral da Proteção de Ativos Críticos em Microsoft Defender para Nuvem. Esse recurso permite que os administradores de segurança marquem os recursos de "joia da coroa" mais críticos para suas organizações, permitindo que Defender para Nuvem forneçam a eles o nível mais alto de proteção e priorizem problemas de segurança nesses ativos acima de todos os outros. Saiba mais sobre a proteção de ativos críticos.
Juntamente com a versão de Disponibilidade Geral, também estamos expandindo o suporte para marcar o Kubernetes e recursos de identidade não humanos.
Proteção de ativo crítica aprimorada para contêineres
18 de novembro de 2024
A proteção crítica de ativos é estendida para dar suporte a casos de uso adicionais para contêineres.
Agora, os usuários podem criar regras personalizadas que marcam ativos gerenciados pelo Kubernetes (cargas de trabalho, contêineres etc.) como críticas com base no namespace do Kubernetes do ativo e/ou no rótulo do Kubernetes do ativo.
Assim como acontece com outros casos críticos de uso de proteção de ativos, Defender para Nuvem leva em conta a criticidade do ativo para priorização de risco, análise de caminho de ataque e gerenciador de segurança.
Aprimoramentos para detectar e responder a ameaças de contêiner
18 de novembro de 2024
Defender para Nuvem fornece um conjunto de novos recursos para capacitar as equipes do SOC a tackle ameaças de contêiner em ambientes nativos de nuvem com maior velocidade e precisão. Esses aprimoramentos incluem Análise de Ameaças, recursos de GoHunt, resposta guiada Microsoft Security Copilot e ações de resposta nativa de nuvem para pods do Kubernetes.
Apresentando ações de resposta nativa de nuvem para pods do Kubernetes (Versão Prévia)
Defender para Nuvem agora oferece ações de resposta multinuvem para pods do Kubernetes, acessíveis exclusivamente no portal Defender XDR. Esses recursos aprimoram a resposta a incidentes para clusters AKS, EKS e GKE.
Veja a seguir novas ações de resposta:
Isolamento de rede – bloqueie instantaneamente todo o tráfego para um pod, impedindo a movimentação lateral e a exfiltração de dados. Requer a configuração de política de rede no cluster do Kubernetes.
Encerramento do pod – encerrar rapidamente pods suspeitos, interrompendo a atividade mal-intencionada sem interromper o aplicativo mais amplo.
Essas ações capacitam as equipes do SOC a conter ameaças efetivamente em ambientes de nuvem.
Relatório de Análise de Ameaças para contêineres
Estamos apresentando um relatório dedicado de Análise de Ameaças, projetado para fornecer visibilidade abrangente das ameaças direcionadas aos ambientes em contêineres. Este relatório equipa as equipes SOC com insights para detectar e responder aos padrões de ataque mais recentes em clusters do AKS, EKS e GKE.
Principais destaques:
- Análise detalhada das principais ameaças e técnicas de ataque associadas em ambientes do Kubernetes.
- Recomendações acionáveis para fortalecer sua postura de segurança nativa de nuvem e reduzir os riscos emergentes.
GoHunt para pods do Kubernetes & Azure recursos
O GoHunt agora estende seus recursos de busca para incluir pods do Kubernetes e recursos de Azure, no portal Defender XDR. Esse recurso aprimora a busca proativa de ameaças, permitindo que os analistas do SOC realizem investigações detalhadas em cargas de trabalho nativas de nuvem.
Principais recursos:
- Recursos avançados de consulta para detectar anomalias em pods do Kubernetes e recursos de Azure, oferecendo um contexto mais avançado para análise de ameaças.
- Integração perfeita com entidades do Kubernetes para busca e investigação eficientes de ameaças.
Security Copilot resposta guiada para pods do Kubernetes
Apresentando a Resposta Guiada para pods do Kubernetes, um recurso alimentado por Security Copilot. Essa nova funcionalidade fornece diretrizes passo a passo em tempo real, ajudando as equipes do SOC a responder às ameaças de contêiner de forma rápida e eficaz.
Principais benefícios:
- Guias estratégicos de resposta contextual adaptados a cenários comuns de ataque do Kubernetes.
- Especialista, suporte em tempo real de Security Copilot, ponte da lacuna de conhecimento e habilitação de resolução mais rápida.
Integração nativa do Gerenciamento de Postura de Segurança da API no plano GPSN do Defender agora em versão prévia pública
15 de novembro de 2024
Os recursos de gerenciamento de postura de segurança de API (versão prévia) agora estão incluídos no plano GPSN do Defender e podem ser habilitados por meio de extensões dentro do plano na página de configurações de ambiente. Para obter mais informações, consulte Melhore a segurança da sua API (Prévia).
Proteção de contêiner aprimorada com avaliação de vulnerabilidades e detecção de malware para nós do AKS (Versão Prévia)
13 de novembro de 2024
Defender para Nuvem agora fornece avaliação de vulnerabilidade e detecção de malware para os nós em AKS (Serviço de Kubernetes do Azure) e fornece clareza aos clientes de sua parte na responsabilidade de segurança compartilhada que eles têm com o provedor de nuvem gerenciado.
Fornecer proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço do Kubernetes gerenciado.
Para receber os novos recursos, você precisa habilitar a opção de verificação agentntless para computadores no plano GPSN do Defender, Defender para Contêineres ou Defender para Servidores P2 em sua assinatura.
Avaliação de Vulnerabilidade
Uma nova recomendação agora está disponível no portal Azure: AKS nodes should have vulnerability findings resolved. Por meio dessa recomendação, agora você pode examinar e corrigir vulnerabilidades e CVEs encontradas em nós AKS (Serviço de Kubernetes do Azure).
Detecção de software mal-intencionado
Novos alertas de segurança são disparados quando a funcionalidade de detecção de malware sem agente detecta malware em nós do AKS.
A detecção de malware sem agente usa o mecanismo antimalware Microsoft Defender Antivírus para verificar e detectar arquivos mal-intencionados. Quando as ameaças são detectadas, os alertas de segurança são direcionados para Defender para Nuvem e Defender XDR, onde podem ser investigados e corrigidos.
Important
A detecção de malware para nós do AKS está disponível apenas para Defender para contêineres ou Defender para ambientes habilitados para Servidores P2.
Ferramenta Avançada de Simulação e Documentação de Alerta do Kubernetes (K8s)
7 de novembro de 2024
Características principais
- Documentação de alerta baseada em cenário: os alertas K8s agora estão documentados com base em cenários do mundo real, fornecendo diretrizes mais claras sobre possíveis ameaças e ações recomendadas.
- integração Microsoft Defender para Ponto de Extremidade (MDE): os alertas são enriquecidos com contexto adicional e inteligência contra ameaças do MDE, melhorando a capacidade de responder com eficiência.
- Nova Ferramenta de Simulação: uma poderosa ferramenta de simulação está disponível para testar sua postura de segurança simulando vários cenários de ataque e gerando alertas correspondentes.
Benefits
- Melhor compreensão de alertas: a documentação baseada em cenário fornece uma compreensão mais intuitiva dos alertas K8s.
- Resposta aprimorada contra ameaças: os alertas são enriquecidos com contexto valioso, permitindo respostas mais rápidas e precisas.
- Teste de segurança proativo: a nova ferramenta de simulação permite que você teste suas defesas de segurança e identifique possíveis vulnerabilidades antes que elas sejam exploradas.
Suporte aprimorado para classificar dados confidenciais da API
6 de novembro de 2024
Microsoft Defender para Nuvem estende os recursos de classificação de dados confidenciais da Segurança da API para o caminho da URL da API e parâmetros de consulta, juntamente com solicitações e respostas da API, incluindo a fonte de informações confidenciais encontradas nas propriedades da API. Essas informações estarão disponíveis na experiência análise de caminho de ataque, na página Detalhes Adicionais do Gerenciador de Segurança de Nuvem quando as operações de Gerenciamento de API com dados confidenciais forem selecionadas e no Painel de Segurança da API sob as Proteções de Carga de Trabalho na página de detalhes da coleção de API, com um novo menu de contexto lateral que fornece informações detalhadas sobre dados confidenciais encontrados, permitindo que as equipes de segurança localizem e reduzam com eficiência os riscos de exposição de dados.
Note
Essa alteração incluirá uma distribuição única para Defender existentes para APIs e clientes GPSN do Defender.
Novo suporte para mapeamento de pontos de extremidade de API de Gerenciamento de API do Azure para computação de back-end
6 de novembro de 2024
A postura de segurança da API do Defender para Nuvem agora dá suporte ao mapeamento de pontos de extremidade de API publicados por meio do Gateway de Gerenciamento de API do Azure para recursos de computação de back-end, como máquinas virtuais, no Gerenciador de Segurança de Nuvem Defender (GPSN do Defender). Essa visibilidade ajuda a identificar o roteamento do tráfego da API nos destinos de computação em nuvem de back-end, permitindo que você detecte e resolva os riscos de exposição associados aos pontos de extremidade da API e seus recursos de back-end conectados.
Suporte aprimorado de segurança de API para implantações de Gerenciamento de API do Azure multi-regionais e gerenciamento de revisões de API
6 de novembro de 2024
A cobertura de segurança da API no Defender para Nuvem agora terá suporte total para implantações de várias regiões Gerenciamento de API do Azure, incluindo postura de segurança completa e suporte à detecção de ameaças para regiões primárias e secundárias
As APIs de integração e integração para Defender para APIs agora serão gerenciadas no nível da API Gerenciamento de API do Azure. Todas as revisões Gerenciamento de API do Azure associadas serão incluídas automaticamente no processo, eliminando a necessidade de gerenciar a integração e a integração de cada revisão de API individualmente.
Essa alteração inclui uma distribuição única para Defender existentes para clientes de APIs.
Detalhes da distribuição:
- A distribuição ocorrerá durante a semana de 6 de novembro para Defender existentes para clientes de APIs.
- Se a revisão 'atual' de uma API de Gerenciamento de API do Azure já estiver integrada a Defender para APIs, todas as revisões associadas a essa API também serão automaticamente integradas a Defender para APIs.
- Se a revisão 'atual' de uma API de Gerenciamento de API do Azure não estiver integrada a Defender para APIs, as revisões de API associadas que foram integradas ao Defender para APIs serão desativadas.
Outubro de 2024
A experiência de migração do MMA está disponível agora
28 de outubro de 2024
Agora você pode garantir que todos os seus ambientes estejam totalmente preparados para a substituição do MMA (agente de pós-Log Analytics) prevista para o final de novembro de 2024.
Defender para Nuvem adicionado uma nova experiência que permite que você tome medidas em escala para todos os seus ambientes afetados:
- Faltam pré-requisitos necessários para obter a cobertura de segurança completa oferecida pelo Defender para o Plano 2 dos Servidores.
- Isso é conectado ao Defender for Servers Plano 2 usando a abordagem de integração herdada por meio de Log Analytics workspace.
- Isso usa a versão antiga do FIM (Monitoramento de Integridade de Arquivo) com o MMA (agente de Log Analytics) necessário para migrar para a nova versão fim improved com Defender for Endpoint (MDE).
Saiba como usar a nova experiência de migração do MMA.
As descobertas de segurança para repositórios de GitHub sem GitHub Segurança Avançada agora são GA
21 de outubro de 2024
A capacidade de receber descobertas de segurança para configurações incorretas de IaC (infraestrutura como código), vulnerabilidades de contêiner e pontos fracos de código para GitHub repositórios sem GitHub Segurança Avançada agora está disponível em geral.
Observe que a verificação secreta, a verificação de código usando GitHub CodeQL e a verificação de dependência ainda exigem GitHub Verificação Avançada.
Para saber mais sobre as licenças necessárias, consulte a página de suporte do DevOps. Para saber como integrar seu ambiente GitHub para Defender para Nuvem, siga o guia de integração GitHub. Para saber como configurar a ação Segurança da Microsoft DevOps GitHub, consulte nossa documentação GitHub Action.
Substituição de três padrões de conformidade
14 de outubro de 2024
Data estimada para alteração: 17 de novembro de 2024
Três padrões de conformidade estão sendo removidos do produto:
- SWIFT CSP-CSCF v2020 (para Azure) - Isso foi substituído pela versão v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 e v1.3.0 – temos duas versões mais recentes disponíveis (v1.4.0 e v2.0.0)
Saiba mais sobre os padrões de conformidade disponíveis em Defender para Nuvem em Padrões de conformidade disponíveis.
Substituição de três padrões de Defender para Nuvem
8 de outubro de 2024
Data estimada para alteração: 17 de novembro de 2024
Para simplificar o gerenciamento de Defender para Nuvem com contas do AWS e projetos GCP, estamos removendo os três padrões de Defender para Nuvem a seguir:
- Para AWS – AWS CSPM
- Para GCP – GCP CSPM e GCP Padrão
O padrão padrão, Microsoft Cloud Security Benchmark (MCSB), agora contém todas as avaliações que eram exclusivas para esses padrões.
Detecção de descompasso binário lançada como GA
9 de outubro de 2024
A detecção de descompasso binário agora é lançada como GA no Defender do plano contêiner. Observe que a detecção de descompasso binário agora funciona em todas as versões do AKS.
Recomendações atualizadas de runtime de contêineres (versão prévia)
6 de outubro de 2024
As recomendações de visualização para "Contêineres em execução na AWS/Azure/GCP devem ter descobertas de vulnerabilidades resolvidas" são atualizadas para agrupar todos os contêineres que fazem parte da mesma carga de trabalho em uma única recomendação, reduzindo as duplicações e evitando flutuações devido a contêineres novos e encerrados.
A partir de 6 de outubro de 2024, as seguintes IDs de avaliação serão substituídas por estas recomendações:
| Recommendation | ID da avaliação anterior | ID da nova avaliação |
|---|---|---|
| -- | -- | -- |
| Os contêineres em execução no Azure devem ter as conclusões de vulnerabilidade resolvidas | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Os contêineres em execução na AWS devem ter as descobertas de vulnerabilidade resolvidas | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Os contêineres em execução na GCP devem ter as descobertas de vulnerabilidade resolvidas | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Se você estiver atualmente recuperando relatórios de vulnerabilidade dessas recomendações por meio da API, certifique-se de atualizar a chamada à API com a nova ID de avaliação.
Informações de identidade e acesso do Kubernetes no grafo de segurança (versão prévia)
6 de outubro de 2024
As informações de Identidade e Acesso do Kubernetes são adicionadas ao grafo de segurança, incluindo nós que representam todas as entidades relacionadas ao RBAC (Controle de Acesso baseado em função do Kubernetes) (contas de serviço, funções, associações de função etc.) e bordas que representam as permissões entre objetos kubernetes. Os clientes agora podem consultar o grafo de segurança para seu RBAC do Kubernetes e as relações relacionadas entre as entidades do Kubernetes (pode autenticar como, pode representar como, concede função, acesso definido por, concede acesso a, tem permissão para etc.).
Caminhos de ataque baseados em informações de identidade e acesso do Kubernetes (versão prévia)
6 de outubro de 2024
Usando os dados RBAC do Kubernetes no grafo de segurança, agora Defender para Nuvem detecta o Kubernetes, o Kubernetes para a Nuvem e a movimentação lateral interna do Kubernetes e relata outros caminhos de ataque em que os invasores podem abusar do Kubernetes e da autorização de nuvem para movimentação lateral para, de e dentro de clusters do Kubernetes.
Análise aprimorada de caminhos de ataque para contêineres
6 de outubro de 2024
O novo mecanismo de análise de caminho de ataque lançado em novembro passado agora também dá suporte a casos de uso de contêiner, detectando dinamicamente novos tipos de caminhos de ataque em ambientes de nuvem com base nos dados adicionados ao grafo. Agora podemos encontrar mais caminhos de ataque para contêineres e detectar padrões de ataque mais complexos e sofisticados utilizados por invasores para infiltrar ambientes de nuvem e Kubernetes.
Descoberta completa de imagens de contêiner em registros com suporte
6 de outubro de 2024
Defender para Nuvem agora coleta dados de inventário para todas as imagens de contêiner em registros com suporte, fornecendo visibilidade total no grafo de segurança para todas as imagens em seus ambientes de nuvem, incluindo imagens que atualmente não têm nenhuma recomendação de postura.
Os recursos de consulta através do Cloud Security Explorer foram aprimorados, permitindo que os usuários agora busquem imagens de contêiner com base em seus metadados (resumo, repositório, sistema operacional, marca etc.).
Inventário de software de contêineres com o Cloud Security Explorer
6 de outubro de 2024
Os clientes agora podem obter uma lista de software instalado em seus contêineres e imagens de contêiner por meio do Cloud Security Explorer. Essa lista também pode ser usada para obter rapidamente outras informações sobre o ambiente do cliente, como encontrar todos os contêineres e imagens de contêiner com software impactado por uma vulnerabilidade de dia zero, mesmo antes da publicação de um CVE.
Setembro de 2024
Melhorias na experiência do Cloud Security Explorer
22 de setembro de 2024
Data estimada para alteração: Outubro de 2024
O Cloud Security Explorer está sendo aprimorado para melhorar o desempenho e a funcionalidade da grade, fornecer mais enriquecimento de dados sobre cada ativo em nuvem, aprimorar as categorias de pesquisa e melhorar o relatório de exportação em CSV, com mais informações sobre os ativos em nuvem exportados.
Disponibilidade geral do Monitoramento de Integridade de Arquivos com base em Microsoft Defender para Ponto de Extremidade
18 de setembro de 2024
A nova versão do Monitoramento de Integridade de Arquivos com base em Microsoft Defender para Ponto de Extremidade agora é GA como parte do Defender para o Plano 2 de Servidores. FIM permite que você:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Essa experiência de FIM aprimorada substitui a existente que define a substituição pela desativação do MMA (Agente Log Analytics). A Experiência FIM sobre o MMA permanecerá apoiada até o final de novembro de 2024.
Com esta versão, uma experiência no produto é lançada para permitir que você migre sua configuração do FIM pelo MMA para o novo FIM por Defender para a versão do Ponto de Extremidade.
Para obter informações sobre como habilitar o FIM em Defender para Ponto de Extremidade, consulte File Integrity Monitoring usando Microsoft Defender para Ponto de Extremidade. Para obter informações sobre como desabilitar versões anteriores, consulte Migrar o Monitoramento de Integridade de Arquivos das versões anteriores.
A experiência de migração do FIM está disponível no Defender para Nuvem
18 de setembro de 2024
Uma experiência no produto é lançada para permitir que você migre sua configuração do FIM pelo MMA para o novo FIM por Defender para a versão do Ponto de Extremidade. Com esse experiência, você pode:
- Revise o ambiente afetado com a versão anterior do FIM sobre a migração habilitada e necessária para o MMA.
- Exporte suas regras atuais do FIM da experiência baseada em MMA e resida em workspaces
- Migre para assinaturas habilitadas para P2 com o novo FIM sobre MDE.
Para usar a experiência de migração, navegue até o painel Configurações do Ambiente e selecione o botão de migração MMA na linha superior.
Substituição do recurso de provisionamento automático do MMA
18 de setembro de 2024 Como parte da desativação do agente MMA, o recurso de provisionamento automático que fornece a instalação e a configuração do agente para clientes MDC também será preterido em duas etapas:
Até o final de setembro de 2024, o provisionamento automático do MMA será desabilitado para clientes que não estão mais usando a funcionalidade, bem como para assinaturas recém-criadas. Após o final de setembro, a funcionalidade não poderá mais ser reativada nessas assinaturas.
No final de novembro de 2024, o provisionamento automático do MMA será desabilitado em assinaturas que ainda não o desligaram. Desse ponto em diante, não será mais possível habilitar o recurso em assinaturas existentes.
Integração com Power BI
15 de setembro de 2024
Defender para Nuvem agora podem se integrar ao Power BI. Essa integração permite que você crie relatórios e dashboards personalizados usando os dados de Defender para Nuvem. Você pode usar Power BI para visualizar e analisar suas recomendações de segurança, conformidade e segurança.
Saiba mais sobre o novo integration com Power BI.
Atualização para os requisitos de rede multicloud do CSPM
11 de setembro de 2024
Data estimada para alteração: Outubro de 2024
A partir de outubro de 2024, adicionaremos mais endereços IP aos nossos serviços de descoberta multinuvem para acomodar melhorias e garantir uma experiência mais eficiente para todos os usuários.
Para garantir o acesso ininterrupto de nossos serviços, atualize sua lista de permissões de IP com os novos intervalos fornecidos aqui. Você deve fazer os ajustes necessários nas suas configurações de firewall, grupos de segurança ou outras configurações que possam se aplicar ao seu ambiente. A lista é suficiente para a capacidade total da oferta básica (gratuita) do CSPM.
substituição do recurso Defender para Servidores
9 de setembro de 2024
Os controles de aplicativos adaptáveis e a proteção de rede adaptável foram descontinuados.
O EnS (Esquema Nacional de Seguridad) espanhol foi adicionado ao painel de conformidade regulatória para Azure
9 de setembro de 2024
As organizações que desejam verificar seus ambientes de Azure em busca de conformidade com o padrão ENS agora podem fazê-lo usando Defender para Nuvem.
O padrão ENS aplica-se a todo o setor público na Espanha, bem como aos fornecedores que colaboram com a Administração. Ele estabelece princípios básicos, requisitos e medidas de segurança para proteger informações e serviços processados eletronicamente. O objetivo é garantir acesso, confidencialidade, integridade, rastreabilidade, autenticidade, disponibilidade e preservação dos dados.
Confira a lista completa de padrões de conformidade com suporte.
Corrija as recomendações de atualizações e patches do sistema nos seus computadores
8 de setembro de 2024
Agora você pode corrigir as atualizações do sistema e as recomendações de patches em seus computadores habilitados para Azure Arc e VMs Azure. As atualizações e os patches do sistema são cruciais para manter a segurança e a integridade dos seus computadores. As atualizações frequentemente contêm patches de segurança para vulnerabilidades que, se não forem corrigidas, poderão ser exploradas por invasores.
As informações sobre atualizações de computador ausentes agora são coletadas usando Gerenciador de Atualizações do Azure.
Para manter a segurança dos seus computadores para atualizações e patches do sistema, você precisará habilitar as configurações de atualizações de avaliação periódica nos computadores.
Saiba como corrigir as recomendações de atualizações e patches do sistema em seus computadores.
A integração do ServiceNow agora inclui o módulo de Conformidade de Configuração
4 de setembro de 2024
A integração do plano CSPM do Defender para Nuvem ao ServiceNow agora inclui o módulo de Conformidade de Configuração do ServiceNow. Esse recurso permite identificar, priorizar e corrigir problemas de configuração em seus ativos de nuvem, reduzindo os riscos de segurança e melhorando sua postura geral de conformidade por meio de fluxos de trabalho automatizados e insights em tempo real.
Saiba mais sobre a integração do ServiceNow ao Defender para Nuvem.
Defender para o plano de proteção de armazenamento por transação (clássico) não disponível para novas assinaturas
4 de setembro de 2024
Data estimada para alteração: 5 de fevereiro de 2025
Após 5 de fevereiro de 2025, você não poderá ativar o plano de proteção de armazenamento por transação do Defender herdado (clássico), a menos que ele já esteja habilitado em sua assinatura. Para obter mais informações, consulte Move para o novo Defender for Storage plan.
Azure Policy configuração de convidado agora está disponível em geral (GA)
domingo, 1 de setembro de 2024
Defender para a configuração de convidado de Azure Policy do Servidor agora está disponível em geral (GA) para todos os Defender multinuvem para clientes do Plano 2 de Servidores. A Configuração de Convidado fornece uma experiência unificada para gerenciar linhas de base de segurança em seu ambiente. Ele permite avaliar e impor configurações de segurança em seus servidores, incluindo computadores Windows e Linux, Azure VMs, AWS EC2 e instâncias GCP.
Saiba como enable Azure Policy configuração de computador em seu ambiente.
Versão prévia do suporte ao registro de contêiner Docker Hub Defender para contêineres
domingo, 1 de setembro de 2024
Estamos introduzindo a visualização pública da extensão de cobertura do Microsoft Defender for Containers para incluir registros externos, começando com Docker Hub registros de contêiner. Como parte do Gerenciamento de Postura de Segurança Microsoft Cloud da sua organização, a extensão da cobertura para Docker Hub registros de contêiner fornece os benefícios de verificar suas imagens de contêiner Docker Hub usando Gerenciamento de Vulnerabilidades do Microsoft Defender identificar ameaças à segurança e reduzir possíveis riscos à segurança.
Para obter mais informações sobre esse recurso, consulte Vulnerability Assessment for Docker Hub
Agosto de 2024
| Date | Category | Update |
|---|---|---|
| 28 de agosto | Preview | A nova versão do Monitoramento de Integridade do Arquivo com base em Microsoft Defender para Ponto de Extremidade |
| Agosto de 22 | Próximas preterições | Retirement da integração de alertas Defender para Nuvem com alertas do WAF Azure |
| 1º de agosto | GA | Enable Microsoft Defender para servidores SQL em computadores em escala |
Nova versão do Monitoramento de Integridade de Arquivos com base em Microsoft Defender para Ponto de Extremidade
28 de agosto de 2024
A nova versão do Monitoramento de Integridade de Arquivos com base em Microsoft Defender para Ponto de Extremidade agora está em versão prévia pública. Faz parte do Defender para Servidores Plano 2. Ele permite:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Como parte desta versão, a experiência do FIM sobre AMA não estará mais disponível no portal do Defender para Nuvem. A Experiência FIM sobre o MMA permanecerá apoiada até o final de novembro de 2024. No início de setembro, uma experiência no produto será lançada, o que permite migrar sua configuração do FIM pelo MMA para o novo FIM por Defender para a versão do Ponto de Extremidade.
Para obter informações sobre como habilitar o FIM em Defender para Ponto de Extremidade, consulte File Integrity Monitoring usando Microsoft Defender para Ponto de Extremidade. Para obter informações sobre como migrar de versões anteriores, consulte Migrar o Monitoramento de integridade do arquivo de versões anteriores.
Desativação da integração de alertas Defender para Nuvem com alertas do WAF Azure
22 de agosto de 2024
Data estimada da alteração: 25 de setembro de 2024
Defender para Nuvem alerta integration com alertas do WAF Azure serão desativados em 25 de setembro de 2024. Nenhuma ação sua é necessária. Para clientes Microsoft Sentinel, você pode configurar o Firewall de Aplicativo Web do Azure connector.
Habilitar Microsoft Defender para servidores SQL em computadores em escala
1º de agosto de 2024
Agora você pode habilitar Microsoft Defender para servidores SQL em computadores em escala em nuvens governamentais. Esse recurso permite habilitar Microsoft Defender para SQL em vários servidores ao mesmo tempo, economizando tempo e esforço.
Saiba como enable Microsoft Defender para servidores SQL em computadores em escala.
Julho de 2024
Disponibilidade geral de recomendações avançadas de descoberta e configuração para proteção de ponto de extremidade
31 de julho de 2024
Recursos aprimorados de descoberta para soluções de proteção de ponto de extremidade e identificação aprimorada de problemas de configuração agora estão em disponibilidade geral e disponíveis para servidores multinuvem. Essas atualizações são incluídas no Defender para Servidores Plano 2 e Defender CSPM (Gerenciamento de Postura de Segurança na Nuvem).
O recurso de recomendações aprimoradas usa verificação de computador sem agente, permitindo a descoberta e a avaliação abrangentes da configuração de soluções de detecção e resposta de ponto de extremidade com suporte. Quando os problemas de configuração são identificados, as etapas de correção são fornecidas.
Com essa versão de disponibilidade geral, a lista de soluções com suporte é expandida para incluir mais duas ferramentas de detecção e resposta de ponto de extremidade:
- Plataforma de singularidade por SentinelOne
- Cortex XDR
Descontinuação da proteção de rede adaptável
31 de julho de 2024
Data estimada para alteração: 31 de agosto de 2024
Defender para a proteção de rede adaptável do servidor está sendo preterida.
A descontinuação de recursos inclui as seguintes experiências:
- Recomendação: recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet [chave de avaliação: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alerta: Tráfego detectado de endereços IP recomendados para bloqueio
Versão prévia: As avaliações de segurança para GitHub não exigem mais licenciamento adicional
22 de julho de 2024
GitHub usuários no Defender para Nuvem não precisam mais de uma licença de Segurança Avançada GitHub para exibir as descobertas de segurança. Isso se aplica às avaliações de segurança quanto aos pontos fracos do código, às configurações incorretas de IaC (infraestrutura como código) e às vulnerabilidades em imagens de contêiner detectadas durante a fase de build.
Os clientes com GitHub Segurança Avançada continuarão a receber avaliações de segurança adicionais em Defender para Nuvem para credenciais expostas, vulnerabilidades em dependências código aberto e descobertas do CodeQL.
Para saber mais sobre a segurança do DevOps em Defender para Nuvem, consulte a visão geral de segurança DevOps. Para saber como integrar seu ambiente GitHub para Defender para Nuvem, siga o guia de integração GitHub. Para saber como configurar a Segurança da Microsoft DevOps GitHub Action, consulte nossa documentação GitHub Action.
Linhas do tempo atualizadas para a substituição do MMA no Defender para o Plano 2 de Servidores
18 de julho de 2024
Data estimada da alteração: agosto de 2024
Com a precação futura do agente Log Analytics em agosto, todo o valor de segurança para a proteção do servidor no Defender para Nuvem dependerá da integração com Microsoft Defender para Ponto de Extremidade (MDE) como um único agente e em recursos sem agente fornecidos pela plataforma de nuvem e verificação de computador sem agente.
Os recursos a seguir têm cronogramas e planos atualizados, portanto, o suporte para eles no MMA será estendido para Defender para Nuvem clientes até o final de novembro de 2024:
FIM (Monitoramento de Integridade de Arquivo): a versão prévia pública da nova versão do FIM no MDE está prevista para agosto de 2024. A versão ga do FIM alimentada pelo agente Log Analytics continuará com suporte para clientes existentes até o final de De novembro de 2024.
Security Baseline: como uma alternativa à versão baseada no MMA, A versão de visualização atual com base na Configuração de Convidado será lançada para disponibilidade geral no September 2024. linhas de base de segurança do sistema operacional alimentadas pelo agente Log Analytics continuará a ter suporte para clientes existentes até o final de De novembro de 2024.
Para obter mais informações, consulte Prepare for retirement of the Log Analytics agent.
Descontinuação de recursos relacionados ao MMA como parte da aposentadoria do agente
18 de julho de 2024
Data estimada da alteração: agosto de 2024
Como parte do deprecação do MMA (Agente de Monitoramento de Microsoft) e da estratégia de implantação do Defender para Servidores, todos os recursos de segurança para Defender para servidores agora serão fornecidos por meio de um único agente (Defender para Ponto de Extremidade) ou por meio de recursos de verificação sem agente. Isso não exigirá dependência do MMA ou do AMA (Agente de Monitoramento de Azure).
À medida que nos aproximamos da desativação do agente em agosto de 2024, os seguintes recursos relacionados ao MMA serão removidos do portal Defender para Nuvem:
- Exibição do status de instalação do MMA nas folhas Inventory e Resource Health.
- A capacidade de integrar novos servidores não Azure para Defender para servidores por meio de Log Analytics workspaces será removida das folhas Inventory e Getting Started.
Note
Recomendamos que os clientes atuais, que integraram servidores locais usando a abordagem legacy, agora conectem esses computadores por meio de servidores habilitados para Azure Arc. Também recomendamos habilitar o Defender para Servidores Plano 2 nas assinaturas Azure às quais esses servidores estão conectados.
Se você habilitou seletivamente Defender para Servidores Plano 2 em VMs Azure específicas por meio da abordagem herdada, habilite Defender para o Plano 2 de Servidores nas assinaturas Azure desses computadores. Exclua computadores individuais da cobertura Defender para Servidores usando o Defender para Servidores < configuração de
Essas etapas garantirão que não haja perda de cobertura de segurança devido à desativação do agente Log Analytics.
Para manter a continuidade da segurança, aconselhamos os clientes com Defender para o Plano 2 de Servidores para habilitar a verificação de computador agentless e integration com Microsoft Defender para Ponto de Extremidade em suas assinaturas.
Você pode usar esta pasta de trabalho personalizada para controlar sua propriedade do AGENTE Log Analytics (MMA) e monitorar o status de implantação de Defender para servidores em VMs Azure e computadores Azure Arc.
Para obter mais informações, consulte Prepare for retirement of the Log Analytics agent.
Versão prévia pública do Binary Drift agora disponível no Defender para Contêineres
Estamos apresentando a versão prévia pública do Binary Drift para Defender para Contêineres. Esse recurso ajuda a identificar e mitigar possíveis riscos de segurança associados a binários não autorizados em seus contêineres. O Descompasso Binário identifica e envia alertas de maneira autônoma sobre processos binários potencialmente prejudiciais em seus contêineres. Além disso, permite que a implementação de uma nova Política de Descompasso Binário controle as preferências de alerta, oferecendo a capacidade de adaptar notificações a necessidades de segurança específicas. Para obter mais informações sobre esse recurso, confira Detecção de Descompasso Binário
Os scripts de correção automatizados para AWS e GCP agora estão em disponibilidade geral
14 de julho de 2024
Em março, lançamos scripts de correção automatizados para AWS e & GCP para Visualização Pública, que permitem corrigir recomendações para AWS e & GCP em escala programaticamente.
Hoje estamos lançando esse recurso para disponibilidade geral (GA). Saiba como usar scripts de correção automatizados.
GitHub atualização de permissões de aplicativo
11 de julho de 2024
Data estimada da alteração: 18 de julho de 2024
A segurança do DevOps no Defender para Nuvem está constantemente fazendo atualizações que exigem que os clientes com conectores GitHub no Defender para Nuvem atualizem as permissões para o aplicativo Segurança da Microsoft DevOps no GitHub.
Como parte dessa atualização, o aplicativo GitHub exigirá permissões de leitura do GitHub Copilot Business. Essa permissão será usada para ajudar os clientes a proteger melhor suas implantações de GitHub Copilot. Sugerimos atualizar o aplicativo assim que possível.
As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização de GitHub, navegue até o aplicativo Segurança da Microsoft DevOps em Settings > GitHub Apps e aceite a solicitação de permissões.
Em um email automatizado do suporte GitHub, selecione Review permission request para aceitar ou rejeitar essa alteração.
Os padrões de conformidade agora estão em disponibilidade geral
10 de julho de 2024
Em março, adicionamos versões prévias de muitos novos padrões de conformidade para os clientes validarem seus recursos da AWS e GCP.
Esses padrões incluíram os Parâmetro de Comparação CIS do GKE (Google Kubernetes Engine), ISO/IEC 27001 e ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), LGPD (Lei Geral de Proteção de Dados Pessoais) do Brasil, CCPA (Lei de Privacidade do Consumidor da Califórnia) e muito mais.
Esses padrões de versão prévia agora estão em GA (disponibilidade geral).
Confira a lista completa de padrões de conformidade com suporte.
Melhoria da experiência de estoque
9 de julho de 2024
Data estimada para alteração: 11 de julho de 2024
A experiência de inventário será atualizada para melhorar o desempenho, incluindo melhorias na lógica de consulta "Abrir consulta" do painel em Azure Resource Graph. Atualizações na lógica por trás Azure cálculo de recurso podem resultar em outros recursos contados e apresentados.
Ferramenta de mapeamento de contêiner a ser executada por padrão no GitHub
8 de julho de 2024
Data estimada para alteração: 12 de agosto de 2024
Com as funcionalidades de segurança do DevOps no CSPM (Microsoft Defender gerenciamento da postura de segurança na nuvem), você pode mapear seus aplicativos nativos de nuvem de código para nuvem para iniciar facilmente fluxos de trabalho de correção do desenvolvedor e reduzir o tempo de correção de vulnerabilidades em suas imagens de contêiner. Atualmente, você deve configurar manualmente a ferramenta de mapeamento de imagens de contêiner para executar na ação Segurança da Microsoft DevOps no GitHub. Com essa alteração, o mapeamento de contêiner será executado por padrão como parte da ação Segurança da Microsoft DevOps. Learn mais sobre a ação Segurança da Microsoft DevOps.
Junho de 2024
| Date | Category | Update |
|---|---|---|
| 27 de junho | GA | Checkov IaC Scanning in Defender para Nuvem. |
| 24 de junho | Update | Aprovação de preços para Defender multinuvem para contêineres |
| 20 de junho | Próximas preterições |
Empresa da substituição para recomendações adaptáveis na substituição do MMA (Agente de Monitoramento de Microsoft). Preterição estimada para agosto de 2024. |
| 10 de junho | Preview | Copilot no Defender para Nuvem |
| 10 de junho | Atualização futura |
Habilitação automática da avaliação de vulnerabilidade do SQL usando a configuração expressa em servidores não configurados. Atualização estimada: 10 de julho de 2024. |
| 3 de junho | Atualização futura |
Alterações no comportamento das recomendações de identidade Atualização estimada: 10 de julho de 2024. |
GA: Verificação de IaC checkov no Defender para Nuvem
27 de junho de 2024
Estamos anunciando a disponibilidade geral da integração checkov para verificação de IaC (Infraestrutura como Código) por meio de Segurança da Microsoft DevOps (MSDO). Como parte dessa versão, o Checkov irá substituir o TerraScan como um analisador de IaC padrão que é executado como parte da Interface de Linha de Comando (CLI) do MSDO. O TerraScan ainda pode ser configurado manualmente por meio das variáveis de ambiente do MSDO, mas não será executado por padrão.
As descobertas de segurança da Checkov presentes como recomendações para repositórios Azure DevOps e GitHub nas avaliações Azure DevOps repositórios devem ter infraestrutura como descobertas de código resolvidas e GitHub repositórios devem ter infraestrutura como descobertas de código resolvidas.
Para saber mais sobre a segurança do DevOps em Defender para Nuvem, consulte a visão geral de segurança DevOps. Para saber como configurar a CLI do MSDO, consulte a documentação Azure DevOps ou GitHub.
Atualização: alteração nos preços de Defender para contêineres em várias nuvens
24 de junho de 2024
Como Defender para contêineres em várias nuvens agora está disponível em geral, ele não é mais gratuito. Para obter mais informações, consulte Microsoft Defender para Nuvem preços.
Preterição: lembrete da preterição das recomendações adaptáveis
20 de junho de 2024
Data estimada da alteração: agosto de 2024
Como parte da substituição MMA e da estratégia de implantação atualizada do Defender for Servers, Defender para recursos de segurança de servidores será fornecido por meio do agente Microsoft Defender para Ponto de Extremidade (MDE) ou por meio dos recursos de verificação agentntless. Ambas as opções não dependerão do MMA ou do AMA (Agente de Monitoramento de Azure).
As recomendações de segurança adaptável, conhecidas como Controles de Aplicativos Adaptáveis e Proteção de Rede Adaptável, serão descontinuadas. A versão atual de GA baseada no MMA e a versão prévia baseada no AMA serão preteridas em agosto de 2024.
Versão prévia: Copilot no Defender para Nuvem
10 de junho de 2024
Estamos anunciando a integração do Microsoft Security Copilot ao Defender para Nuvem em versão prévia pública. A experiência inserida do Copilot no Defender para Nuvem fornece aos usuários a capacidade de fazer perguntas e obter respostas em linguagem natural. Copilot pode ajudá-lo a entender o contexto de uma recomendação, o efeito da implementação de uma recomendação, as etapas necessárias para implementar uma recomendação, ajudar na delegação de recomendações e auxiliar na correção de configurações incorretas no código.
Saiba mais sobre Microsoft Security Copilot no Defender para Nuvem.
Atualização: Habilitação automática da avaliação de vulnerabilidade do SQL
10 de junho de 2024
Data estimada para alteração: 10 de julho de 2024
Originalmente, a VA (Avaliação de Vulnerabilidades do SQL) com a Configuração Expressa só foi habilitada automaticamente em servidores em que Microsoft Defender para SQL foi ativado após a introdução da Configuração Expressa em dezembro de 2022.
Atualizaremos todos os servidores SQL do Azure que tinham Microsoft Defender para SQL ativados antes de dezembro de 2022 e não tinham nenhuma política de VA do SQL existente em vigor, para ter a SQL VA (Avaliação de Vulnerabilidade de SQL) habilitada automaticamente com a Configuração Expressa.
- A implementação dessa alteração será gradual, abrangendo várias semanas e não exige nenhuma ação por parte do usuário.
- Essa alteração se aplica a servidores SQL do Azure em que Microsoft Defender para SQL foi ativado no nível da assinatura Azure.
- Servidores com uma configuração clássica existente (válida ou inválida) não serão afetados por essa alteração.
- Após a ativação, a recomendação “As descobertas de vulnerabilidade dos bancos de dados SQL devem ser resolvidas” pode aparecer e possivelmente afetar sua classificação de segurança.
Atualização: Alterações no comportamento das recomendações de identidade
3 de junho de 2024
Data estimada para alteração: julho de 2024
Estas alterações:
- O recurso avaliado se tornará a identidade em vez da assinatura
- As recomendações não terão mais “sub-recomendações”
- O valor do campo 'assessmentKey' na API será alterado para essas recomendações
Será aplicado às seguintes recomendações:
- Contas com permissões de proprietário em Azure recursos devem estar habilitadas para MFA
- Contas com permissões de gravação em Azure recursos devem estar habilitadas para MFA
- Contas com permissões de leitura em Azure recursos devem estar habilitadas para MFA
- Contas de convidado com permissões de proprietário em Azure recursos devem ser removidas
- Contas de convidado com permissões de gravação em Azure recursos devem ser removidas
- Contas de convidado com permissões de leitura em Azure recursos devem ser removidas
- Contas bloqueadas com permissões de proprietário em Azure recursos devem ser removidas
- Contas bloqueadas com permissões de leitura e gravação em Azure recursos devem ser removidas
- Uma quantidade máxima de três proprietários deve ser designada para sua assinatura
- Deve haver mais de um proprietário atribuído à sua assinatura
Maio de 2024
| Date | Category | Update |
|---|---|---|
| 30 de maio | GA | Detecção de malware sem Defender para Servidores Plano 2 |
| 22 de maio | Update | Configurar notificações por email para caminhos de ataques |
| 21 de maio | Update | A caça em Microsoft Defender XDR inclui Defender para Nuvem alertas e incidentes |
| 09 de maio | Preview | integração Checkov para verificação de IaC no Defender para Nuvem |
| 7 de maio | GA | gerenciamento Permissions no Defender para Nuvem |
| 6 de maio | Preview | AI multicloud security posture management is available for Azure and AWS. |
| 6 de maio | Versão prévia limitada | proteção Threat para cargas de trabalho de IA em Azure. |
| Maio de 2 | Update | Gerenciamento de Políticas de Segurança. |
| 1º de maio | Preview | Defender para bancos de dados de software livre agora está disponível na AWS para instâncias da Amazon. |
| 1º de maio | Próximas preterições |
Removal do FIM sobre AMA e lançamento da nova versão por Defender para Ponto de Extremidade. Preterição estimada para agosto de 2024. |
GA: Detecção de malware sem agente no Defender para Servidores Plano 2
30 de maio de 2024
A detecção de malware sem agente do Defender para Nuvem para VMs Azure, instâncias do AWS EC2 e instâncias de VM do GCP agora está geralmente disponível como um novo recurso no
A detecção de malware sem agente usa o mecanismo antivírus Microsoft Defender Antivírus para verificar e detectar arquivos mal-intencionados. As ameaças detectadas disparam alertas de segurança diretamente em Defender para Nuvem e Defender XDR, onde podem ser investigados e corrigidos. Saiba mais sobre a verificação de malware sem agente para servidores e verificação sem agente para VMs.
Atualização: Configurar notificações por email para caminhos de ataque
22 de maio de 2024
Agora você pode configurar notificações por email quando um caminho de ataque é detectado com um nível de risco igual ou superior ao especificado. Saiba como configurar notificações por email.
Atualização: A busca avançada em Microsoft Defender XDR inclui Defender para Nuvem alertas e incidentes
21 de maio de 2024
Os alertas e incidentes do Defender para Nuvem agora estão integrados ao Microsoft Defender XDR e podem ser acessados no Portal do Microsoft Defender. Esta integração fornece um contexto mais rico para investigações que abrangem recursos de nuvem, dispositivos e identidades. Saiba mais sobre a busca avançada de ameaças na integração do XDR.
Versão prévia: Integração checkov para verificação de IaC no Defender para Nuvem
9 de maio de 2024
A integração checkov para a segurança do DevOps no Defender para Nuvem agora está em versão prévia. Essa integração melhora a qualidade e o número total de verificações de Infraestrutura como Código executadas pela CLI do MSDO ao verificar os modelos de IaC.
Durante a visualização, o Checkov deve ser chamado explicitamente pelo parâmetro de entrada “ferramentas” da CLI do MSDO.
Saiba mais sobre a segurança DevOps no Defender para Nuvem e configurar a CLI do MSDO para Azure DevOps e GitHub.
GA: Gerenciamento de permissões no Defender para Nuvem
7 de maio de 2024
Permissions management agora está disponível em Defender para Nuvem.
Versão Prévia: Gerenciamento da postura de segurança multinuvem de IA
6 de maio de 2024
O gerenciamento de postura de segurança de IA está disponível em versão prévia no Defender para Nuvem. Ele fornece recursos de gerenciamento de postura de segurança de IA para Azure e AWS, para aprimorar a segurança de seus pipelines e serviços de IA.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Visualização limitada: Proteção contra ameaças para cargas de trabalho de IA no Azure
6 de maio de 2024
A proteção contra ameaças para cargas de trabalho de IA em Defender para Nuvem está disponível em versão prévia limitada. Esse plano ajuda você a monitorar seus aplicativos Azure abertos em tempo de execução para atividades mal-intencionadas, identificar e corrigir riscos de segurança. Ele fornece insights contextuais sobre a proteção contra ameaças à carga de trabalho de IA, integrando-se à IA Responsible AI e Microsoft Inteligência contra Ameaças. Os alertas de segurança relevantes são integrados ao portal Defender.
Saiba mais sobre a proteção contra ameaças para cargas de trabalho de IA.
GA: Gerenciamento de políticas de segurança
2 de maio de 2024
O gerenciamento de políticas de segurança entre nuvens (Azure, AWS, GCP) agora está disponível em geral. Permite que as equipes de segurança gerenciem suas políticas de segurança de forma consistente e com novos recursos
Saiba mais sobre políticas de segurança no Microsoft Defender para Nuvem.
Versão prévia: Defender para bancos de dados de software livre disponíveis no AWS
1 de maio de 2024
Defender para bancos de dados de software livre no AWS agora está disponível em versão prévia. Adiciona o suporte a vários tipos de instâncias do Serviço de Banco de Dados Relacionais (RDS) da Amazon.
Saiba mais sobre Defender para bancos de dados de software livre e como enable Defender para bancos de dados de software livre no AWS.
Preterição: Remoção do FIM (com AMA)
1 de maio de 2024
Data estimada da alteração: agosto de 2024
Como parte da substituição MMA e da estratégia de implantação atualizada do Defender for Servers, todos os recursos de segurança do Defender for Servers serão fornecidos por meio de um único agente (MDE) ou por meio de recursos de verificação sem agente e sem dependência do MMA ou da AMA.
A nova versão do FIM (Monitoramento de Integridade de Arquivos) por Microsoft Defender para Ponto de Extremidade (MDE) permite que você atenda aos requisitos de conformidade monitorando arquivos críticos e registros em tempo real, auditando alterações e detectando alterações suspeitas de conteúdo de arquivo.
Como parte desta versão, a experiência do FIM sobre AMA não estará mais disponível por meio do portal Defender para Nuvem a partir de agosto de 2024. Para obter mais informações, confira Experiência do Monitoramento de Integridade do Arquivo – Alterações e diretrizes de migração.
Para obter detalhes sobre a nova versão da API, consulte Microsoft Defender para Nuvem APIs REST.
Abril de 2024
| Date | Category | Update |
|---|---|---|
| 16 de abril | Atualização futura |
Alteração nas IDs de avaliação do CIEM. Atualização estimada: maio de 2024. |
| 15 de abril | GA | Defender para contêineres agora está disponível para AWS e GCP. |
| 3 de abril | Update | A priorização doRisk agora é a experiência padrão em Defender para Nuvem |
| 3 de abril | Update | Defender para atualizações de bancos de dados relacionais de software livre. |
Atualização: Alteração nas IDs de avaliação do CIEM
16 de abril de 16 de 2024
Data estimada da alteração: maio de 2024
As seguintes recomendações são agendadas para remodelagem, o que resultará em alterações nas respectivas IDs de avaliação:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender para contêineres para AWS e GCP
15 de abril de 2024
A detecção de ameaças em tempo de execução e a descoberta sem agente para AWS e GCP em Defender para contêineres agora estão disponíveis em geral. Além disso, há uma nova funcionalidade de autenticação na AWS que simplifica o provisionamento.
Saiba mais sobre containers matriz de suporte em Defender para Nuvem e como configure Defender para componentes de contêineres.
Atualização: Priorização de riscos
3 de abril de 2024
A priorização de risco agora é a experiência padrão em Defender para Nuvem. Esse recurso ajuda você a se concentrar nos problemas de segurança mais críticos no seu ambiente ao priorizar recomendações com base nos fatores de risco de cada recurso. O nível de risco é calculado com base no possível impacto do problema de segurança que está sendo violado, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte. Saiba mais sobre a priorização de risco.
Atualização: Defender para bancos de dados relacionais Open-Source
3 de abril de 2024
- Defender para atualizações pós-GA dos Servidores PostgreSQL Flexíveis - A atualização permite que os clientes imponham a proteção para servidores flexíveis do PostgreSQL existentes no nível da assinatura, permitindo flexibilidade total para habilitar a proteção por recurso ou para proteção automática de todos os recursos no nível da assinatura.
- Defender para Disponibilidade de Servidores Flexíveis do MySQL e GA - Defender para Nuvem expandiu seu suporte para Azure bancos de dados relacionais de software livre incorporando Servidores Flexíveis mySQL.
Esta versão inclui:
- Compatibilidade de alertas com alertas existentes para Defender para Servidores Únicos mySQL.
- Habilitação de recursos individuais.
- Habilitação no nível da assinatura.
- As atualizações para servidores flexíveis Banco de Dados do Azure para MySQL estão sendo distribuídas nas próximas semanas. Se você vir o erro
The server <servername> is not compatible with Proteção Avançada contra Ameaças, poderá aguardar a atualização ou abrir um tíquete de suporte para atualizar o servidor mais cedo para uma versão com suporte.
Se você já estiver protegendo sua assinatura com Defender para bancos de dados relacionais de software livre, seus recursos de servidor flexíveis serão habilitados, protegidos e cobrados automaticamente. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.
Saiba mais sobre Microsoft Defender para bancos de dados relacionais de software livre.
Março de 2024
GA: verificação de imagens de contêiner Windows
31 de março de 2024
Estamos anunciando a GA (disponibilidade geral) do suporte de imagens de contêiner Windows para verificação por Defender para contêineres.
Atualização: A exportação contínua agora inclui dados de caminhos de ataque
25 de março de 2024
Estamos anunciando que a exportação contínua agora inclui dados de caminhos de ataque. Esse recurso permite transmitir dados de segurança para Log Analytics no Azure Monitor, para Hubs de Eventos do Azure ou para outro SIEM (Gerenciamento de Eventos e Informações de Segurança), SOAR (Resposta Automatizada de Orquestração de Segurança) ou solução de modelo de implantação clássica de TI.
Saiba mais sobre a exportação contínua.
Versão prévia: A verificação sem agente dá suporte a VMs criptografadas por CMK no Azure
21 de março de 2024
Até agora, a verificação sem agente cobria VMs criptografadas do CMK no AWS e no GCP. Com esta versão, estamos concluindo o suporte para Azure também. A funcionalidade emprega uma abordagem de verificação exclusiva para CMK em Azure:
- Defender para Nuvem não manipula o processo de descriptografia ou chave. As chaves e a descriptografia são tratadas perfeitamente por Azure Computação e são transparentes para o serviço de verificação sem agente do Defender para Nuvem.
- Os dados de disco de VM não criptografados nunca são copiados ou criptografados novamente com outra chave.
- A chave original não é replicada durante o processo. Purminá-lo erradica os dados na VM de produção e no instantâneo temporário do Defender para Nuvem.
Durante a pré-visualização pública, essa funcionalidade não é habilitada automaticamente. Se você estiver usando Defender para servidores P2 ou GPSN do Defender e seu ambiente tiver VMs com discos criptografados cmk, agora você poderá examiná-los quanto a vulnerabilidades, segredos e malware seguindo estas etapas de enablement.
Versão prévia: recomendações personalizadas baseadas no KQL para Azure
17 de março de 2024
Recomendações personalizadas baseadas no KQL para Azure agora estão em versão prévia pública e têm suporte para todas as nuvens. Para obter mais informações, veja Criar recomendações e padrões de segurança personalizados.
Atualização: Inclusão de recomendações de DevOps no parâmetro de comparação de segurança de nuvem Microsoft
13 de março de 2024
Hoje, estamos anunciando que agora você pode monitorar sua postura de segurança e conformidade do DevOps no Microsoft cloud security benchmark (MCSB), além de Azure, AWS e GCP. As avaliações de DevOps fazem parte do controle de Segurança de DevOps no MCSB.
O MCSB é uma estrutura que define princípios fundamentais de segurança da nuvem com base em padrões comuns da indústria e em estruturas de conformidade. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independente de nuvem.
Saiba mais sobre as recomendações DevOps que serão incluídas e o Microsoft cloud security benchmark.
GA: Agora a Integração no ServiceNow está em disponibilidade geral
12 de março de 2024
Estamos anunciando a GA (disponibilidade geral) da integração do ServiceNow.
Versão prévia: Proteção de ativos críticos no Microsoft Defender para Nuvem
12 de março de 2024
Defender para Nuvem agora inclui um recurso de comercialidade, usando o mecanismo de ativos críticos do Segurança da Microsoft Exposure Management, para identificar e proteger ativos importantes por meio de priorização de risco, análise de caminho de ataque e gerenciador de segurança de nuvem. Para obter mais informações, consulte Critical assets protection in Microsoft Defender para Nuvem (Preview).
Atualização: Recomendações aprimoradas para AWS e GCP com scripts de correção automatizados
12 de março de 2024
Estamos aprimorando as recomendações do AWS e GCP com scripts de correção automatizados que permitem que você os corrija programaticamente e em escala. Saiba mais sobre scripts de correção automatizados.
Versão Prévia: Padrões de conformidade adicionados ao painel de controle de conformidade
6 de março de 2024
Com base nos comentários dos clientes, adicionamos padrões de conformidade na versão prévia para Defender para Nuvem.
Confira a lista completa de padrões de conformidade com suporte
Estamos continuamente trabalhando na adição e atualização de novos padrões para ambientes Azure, AWS e GCP.
Saiba como atribuir um padrão de segurança.
Atualização: Defender para atualizações de bancos de dados relacionais de software livre
6 de março de 2024**
Data estimada da alteração: abril de 2024
Defender para atualizações pós-GA dos Servidores PostgreSQL Flexíveis - A atualização permite que os clientes imponham a proteção para servidores flexíveis do PostgreSQL existentes no nível da assinatura, permitindo flexibilidade total para habilitar a proteção por recurso ou para proteção automática de todos os recursos no nível da assinatura.
Defender para DISPONIBILIDADE de Servidores Flexíveis do MySQL e GA - Defender para Nuvem está definido para expandir seu suporte para Azure bancos de dados relacionais de software livre incorporando Servidores Flexíveis mySQL. Esta versão incluirá:
- Compatibilidade de alertas com alertas existentes para Defender para Servidores Únicos mySQL.
- Habilitação de recursos individuais.
- Habilitação no nível da assinatura.
Se você já estiver protegendo sua assinatura com Defender para bancos de dados relacionais de software livre, seus recursos de servidor flexíveis serão habilitados, protegidos e cobrados automaticamente. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.
Saiba mais sobre Microsoft Defender para bancos de dados relacionais de software livre.
Atualização: Alterações nas configurações de Ofertas de Conformidade e ações de Microsoft
3 de março de 2024
Data estimada da alteração: 30 de setembro de 2025
Em 30 de setembro de 2025, os locais em que você acessa dois recursos de visualização, oferta de conformidade e ações de Microsoft, serão alterados.
A tabela que lista o status de conformidade dos produtos da Microsoft (acessada a partir das ofertas Compliance na barra de ferramentas do painel de conformidade regulatório do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Service Trust Portal.
Para um subconjunto de controles, o Microsoft Actions estava acessível no botão Microsoft Actions (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir Microsoft Ações visitando o Service Trust Portal do Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema Azure.
Atualização: alterações em que você acessa ofertas de conformidade e ações de Microsoft
3 de março de 2024**
Data estimada para a alteração: setembro de 2025
Em 30 de setembro de 2025, os locais em que você acessa dois recursos de visualização, oferta de conformidade e ações de Microsoft, serão alterados.
A tabela que lista o status de conformidade dos produtos da Microsoft (acessada a partir das ofertas Compliance na barra de ferramentas do painel de conformidade regulatório do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Service Trust Portal.
Para um subconjunto de controles, o Microsoft Actions estava acessível no botão Microsoft Actions (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir Microsoft Ações visitando o Service Trust Portal do Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema Azure.
Substituição: avaliação de vulnerabilidade de contêineres de Defender para Nuvem alimentada pela desativação do Qualys
3 de março de 2024
A Avaliação de Vulnerabilidade de Contêineres Defender para Nuvem da Qualys está sendo desativada. A desativação será concluída até 06 de março e, até lá, os resultados parciais ainda poderão aparecer nas recomendações do Qualys e os resultados do Qualys no gráfico de segurança. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para avaliações Vulnerability para Azure com Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter informações sobre como fazer a transição para a oferta de avaliação de vulnerabilidade de contêiner alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender, consulte Transition do Qualys para Gerenciamento de Vulnerabilidades do Microsoft Defender.
Fevereiro de 2024
| Date | Category | Update |
|---|---|---|
| 28 de fevereiro | Deprecation | Segurança da Microsoft Code Analysis (MSCA) não está mais operacional. |
| 28 de fevereiro | Update | Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP. |
| 26 de fevereiro | Update | suporte Cloud para Defender para contêineres |
| 20 de fevereiro | Update | A nova versão do sensor Defender para Defender para Contêineres |
| 18 de fevereiro | Update | Suporte à especificação de formato de imagem da Open Container Initiative (OCI) |
| 13 de fevereiro | Deprecation | A avaliação de vulnerabilidade de contêineres da AWS alimentada da plataforma Trivy foi desativada. |
| 5 de fevereiro | Atualização futura |
Decomissionamento de Microsoft. Provedor de recursos SecurityDevOps Esperada para: 6 de março de 2024 |
Substituição: Segurança da Microsoft Code Analysis (MSCA) não está mais operacional
28 de fevereiro de 2024
Em fevereiro de 2021, a substituição da tarefa MSCA foi comunicada a todos os clientes e já passou do fim da vida útil desde março de 2022. A partir de 26 de fevereiro de 2024, a MSCA oficialmente não está mais operacional.
Os clientes podem obter as ferramentas de segurança de DevOps mais recentes de Defender para Nuvem até Segurança da Microsoft DevOps e mais ferramentas de segurança por meio de GitHub Segurança Avançada para Azure DevOps.
Atualização: Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP
28 de fevereiro de 2024
A experiência atualizada para gerenciar políticas de segurança, inicialmente lançada na Versão Prévia para Azure, está expandindo seu suporte para ambientes de nuvem cruzada (AWS e GCP). Esta versão prévia inclui:
- Gerenciando padrões de conformidade regulatório em Defender para Nuvem em ambientes Azure, AWS e GCP.
- Mesma experiência de interface entre nuvens para criar e gerenciar recomendações personalizadas Microsoft Cloud Security Benchmark (MCSB).
- A experiência atualizada é aplicada à AWS e ao GCP para criar recomendações personalizadas com uma consulta KQL.
Atualização: suporte à nuvem para Defender para contêineres
26 de fevereiro de 2024
AKS (Serviço de Kubernetes do Azure) recursos de detecção de ameaças em Defender para contêineres agora têm suporte total em nuvens comerciais, Azure Governamental e Azure China 21Vianet. Examine os recursos com suporte.
Atualização: nova versão do sensor de Defender para Defender para contêineres
20 de fevereiro de 2024
A nova versão do sensor Defender para Defender para Contêineres está disponível. Ele inclui melhorias de desempenho e segurança, suporte para nós de arco AMD64 e Arm64 (somente Linux) e usa Inspektor Gadget como o agente de coleta de processos em vez de Sysdig. A nova versão é apenas compatível com as versões 5.4 e posteriores do Linux, portanto, se você tiver versões mais antigas do kernel do Linux, precisará fazer a atualização. O suporte para Arm64 só está disponível no AKS V1.29 e superior. Para obter mais informações, confira Sistemas operacionais do host com suporte.
Atualização: Suporte à especificação do formato de imagem da Open Container Initiative (OCI)
18 de fevereiro de 2024
A especificação de formato de imagem
Preterição: A avaliação de vulnerabilidade de contêineres da AWS da plataforma Trivy foi desativada
13 de fevereiro de 2024
A avaliação de vulnerabilidade de contêiner da plataforma Trivy foi desativada. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para a nova avaliação de vulnerabilidade de contêiner AWS alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter instruções sobre como atualizar, consulte Como fazer upgrade da avaliação de vulnerabilidade do Trivy desativada para a avaliação de vulnerabilidade da AWS alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender?
Atualização: desativação de Microsoft. Provedor de recursos SecurityDevOps
5 de fevereiro de 2024
Data estimada da alteração: 6 de março de 2024
Microsoft Defender para Nuvem está desativando o provedor de recursos Microsoft.SecurityDevOps que foi usado durante a visualização pública da segurança do DevOps, tendo migrado para o provedor Microsoft.Security existente. O motivo da alteração é melhorar as experiências do cliente, reduzindo o número de provedores de recursos associados aos conectores de DevOps.
Os clientes que ainda estão usando a versão da API 2022-09-01-preview em Microsoft.SecurityDevOps para consultar Defender para Nuvem dados de segurança do DevOps serão afetados. Para evitar interrupções no serviço, o cliente precisará atualizar para a nova versão da API 2023-09-01-preview no provedor Microsoft.Security.
No momento, os clientes que usam Defender para Nuvem segurança do DevOps do portal Azure não serão afetados.
Janeiro de 2024
Atualização:Novo insight para repositórios ativos no Cloud Security Explorer
31 de janeiro de 2024
Uma nova visão dos repositórios de Azure DevOps foi adicionada ao Cloud Security Explorer para indicar se os repositórios estão ativos. Esse insight indica que o repositório de código não está arquivado ou desabilitado, o que significa que o acesso de gravação ao código, builds e solicitações de pull ainda está disponível para os usuários. Os repositórios arquivados e desabilitados podem ser considerados de menor prioridade, já que o código não costuma ser usado em implantações ativas.
Para testar a consulta por meio do Cloud Security Explorer, use esse link de consulta.
Atualização: Alteração nos preços da detecção de ameaças de contêiner multinuvem
30 de janeiro de 2024**
Data estimada da alteração: abril de 2024
Quando a detecção de ameaças de contêiner multinuvem passar para GA, ela deixará de ser gratuita. Para obter mais informações, consulte Microsoft Defender para Nuvem preços.
Atualização: Imposição de GPSN do Defender para o valor de segurança DevOps Premium
29 de janeiro de 2024**
Data estimada para a alteração: 7 de março de 2024
Defender para Nuvem começará a impor a verificação do plano GPSN do Defender para o valor de segurança Premium DevOps a partir de Arquivo 7º de 2024. Se você tiver o plano de GPSN do Defender habilitado em um ambiente de nuvem (Azure, AWS, GCP) no mesmo locatário em que os conectores de DevOps são criados, você continuará recebendo recursos premium de DevOps sem custo adicional. Se você não for um cliente GPSN do Defender, terá até Arquivo 7º de 2024 para habilitar GPSN do Defender antes de perder o acesso a esses recursos de segurança. Para habilitar GPSN do Defender em um ambiente de nuvem conectado antes de 7 de março de 2024, siga a documentação de habilitação descrita a.
Para obter mais informações sobre quais recursos de segurança do DevOps estão disponíveis nos planos do CSPM e do GPSN do Defender, consulte a documentação que descreve a disponibilidade do recurso.
Para obter mais informações sobre a Segurança do DevOps no Defender para Nuvem, consulte a documentação overview.
Para obter mais informações sobre os recursos de segurança de nuvem no GPSN do Defender, consulte how to protect your resources with GPSN do Defender.
Versão prévia: Postura de contêiner sem agente para GCP em Defender para contêineres e GPSN do Defender
24 de janeiro de 2024
Os novos recursos de postura de contêiner sem agente (versão prévia) estão disponíveis para o GCP, incluindo avaliações Vulnerability para GCP com Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter mais informações sobre todos os recursos, consulte A postura de contêiner sem caracteres no GPSN do Defender e A funcionalidades sem caracteres no Defender para Contêineres.
Você também pode ler sobre o gerenciamento de postura de contêiner sem agente para várias nuvens nesta postagem no blog.
Versão Prévia: Verificação de malware sem agente para servidores
16 de janeiro de 2024
Estamos anunciando a versão da detecção de malware sem agente do Defender para Nuvem para máquinas virtuais Azure (VM), instâncias do AWS EC2 e instâncias de VM GCP, como um novo recurso incluído em Defender para o Plano 2.
A detecção de malware sem agente para VMs agora está incluída em nossa plataforma de verificação sem agente. A verificação de malware sem agente utiliza Microsoft Defender Antivírus mecanismo antimalware para verificar e detectar arquivos mal-intencionados. Quaisquer ameaças detectadas, dispare alertas de segurança diretamente em Defender para Nuvem e Defender XDR, onde eles podem ser investigados e corrigidos. O verificador de malware sem agente complementa a cobertura baseada em agente com uma segunda camada de detecção de ameaças com integração sem atrito e não tem efeito no desempenho do computador.
Saiba mais sobre a verificação de malware sem agente para servidores e verificação sem agente para VMs.
Disponibilidade geral da integração do Defender para Nuvem com o Microsoft Defender XDR
15 de janeiro de 2024
Estamos anunciando a GA (disponibilidade geral) da integração entre Defender para Nuvem e Microsoft Defender XDR (anteriormente Office 365 Defender).
A integração traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com Microsoft Defender para Nuvem e a integração Defender XDR, as equipes do SOC podem descobrir ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Microsoft 365 e muito mais.
Saiba mais sobre alerts e incidentes em Microsoft Defender XDR.
Atualização: Função de Azure interna de verificação de VM sem agente
14 de janeiro de 2024**
Data estimada da alteração: fevereiro de 2024
Em Azure, a verificação sem agente para VMs usa uma função interna (chamada operador de scanner de VM) com as permissões mínimas necessárias para verificar e avaliar suas VMs quanto a problemas de segurança. Para fornecer continuamente recomendações relevantes de integridade e configuração de verificações para VMs com volumes criptografados, está planejada uma atualização das permissões dessa função. A atualização inclui a adição da permissão Microsoft.Compute/DiskEncryptionSets/read. Essa permissão apenas permite uma identificação aprimorada do uso de discos criptografados em VMs. Ele não fornece Defender para Nuvem mais recursos para descriptografar ou acessar o conteúdo desses volumes criptografados além dos métodos de criptografia already com suporte antes dessa alteração. Essa alteração deve ocorrer durante o mês de fevereiro de 2024 e nenhuma ação de sua parte é necessária.
Atualização: anotações de solicitação pull de segurança de DevOps habilitadas por padrão para conectores de Azure DevOps
12 de janeiro de 2024
A segurança do DevOps expõe as descobertas de segurança como anotações nos Pull Requests (PR) para ajudar os desenvolvedores a prevenir e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes de entrar na fase de produção. A partir de 12 de janeiro de 2024, as anotações de PR agora estão habilitadas por padrão para todos os repositórios de Azure DevOps novos e existentes conectados a Defender para Nuvem.
Por padrão, as anotações de PR são habilitadas apenas para descobertas de IaC (Infraestrutura como Código) de Alta Severidade. Os clientes ainda precisarão configurar Segurança da Microsoft do DevOps (MSDO) para serem executados em builds de PR e habilitar a política de Validação de Build para builds de CI em configurações de repositório Azure DevOps. Os clientes podem desabilitar o recurso Anotação de PR para repositórios específicos nas opções de configuração do repositório do painel de segurança do DevOps.
Saiba mais sobre anotações de solicitação de pull para Azure DevOps.
Substituição: Defender para o caminho de desativação da Qualys (avaliação de vulnerabilidades) interna dos Servidores
9 de janeiro de 2024**
Data estimada da alteração: maio de 2024
A solução de avaliação de vulnerabilidade interna Defender para servidores da Qualys está em um caminho de desativação, que é estimado para ser concluído em May 1st, 2024. Se você estiver usando atualmente a solução de avaliação de vulnerabilidades da Qualys, você deverá planejar sua transição para a solução integrada de gerenciamento de vulnerabilidades Microsoft Defender.
Para obter mais informações sobre nossa decisão de unificar nossa oferta de avaliação de vulnerabilidade com Gerenciamento de Vulnerabilidades do Microsoft Defender, você pode ler a postagem no blog.
Você também pode conferir as perguntas comando sobre a transição para Gerenciamento de Vulnerabilidades do Microsoft Defender solução.
Atualização: requisitos de rede multinuvem do Defender para Nuvem
3 de janeiro de 2024**
Data estimada da alteração: maio de 2024
A partir de maio de 2024, estaremos desativando os endereços IP antigos associados aos nossos serviços de descoberta multinuvem para acomodar melhorias e garantir uma experiência mais segura e eficiente para todos os usuários.
Para garantir o acesso ininterrupto aos nossos serviços, você deve atualizar sua lista de permissões de IP com os novos intervalos fornecidos nas seções a seguir. Você deve fazer os ajustes necessários nas suas configurações de firewall, grupos de segurança ou outras configurações que possam se aplicar ao seu ambiente.
A lista se aplica a todos os planos e é suficiente para a total funcionalidade da oferta original (gratuita) do GPSN.
Endereços IP a serem desativados:
- Descoberta da GCP: 104.208.29.200, 52.232.56.127
- Descoberta da AWS: 52.165.47.219, 20.107.8.204
- Integração: 13.67.139.3
Novos intervalos de IP específicos por região a serem adicionados:
- Oeste da Europa: 52.178.17.48/28
- Norte da Europa: 13.69.233.80/28
- EUA Central: 20.44.10.240/28
- Leste dos EUA 2: 20.44.19.128/28
Dezembro de 2023
Consolidação de nomes de nível 2 de serviço do Defender para Nuvem
30 de dezembro de 2023
Estamos consolidando os nomes herdados do Nível de Serviço 2 para todos os planos Defender para Nuvem em um único novo nome de Nível de Serviço 2, Microsoft Defender para Nuvem.
Hoje, há quatro nomes de Nível de Serviço 2: Azure Defender, Proteção Avançada contra Ameaças, Segurança de Dados Avançada e Central de Segurança. Os vários medidores para Microsoft Defender para Nuvem são agrupados entre esses nomes separados de Nível de Serviço 2, criando complexidades ao usar o Gerenciamento de Custos + Cobrança, faturamento e outras ferramentas relacionadas à cobrança Azure.
A alteração simplifica o processo de revisão de encargos Defender para Nuvem e fornece melhor clareza na análise de custos.
Para garantir uma transição tranquila, tomamos medidas para manter a consistência das IDs de Produto/Serviço, SKU e Medidor. Os clientes afetados receberão uma notificação de serviço Azure informativa para comunicar as alterações.
As organizações que recuperam dados de custo chamando nossas APIs precisarão atualizar os valores nas respectivas chamadas para acomodar a alteração. Por exemplo, nesta função de filtro, os valores não retornarão nenhuma informação:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| Nome do Antigo Nível de Serviço 2 | Novo nome do Nível de Serviço 2 | Camada de Serviço – Nível de Serviço 4 (Sem alteração) |
|---|---|---|
| Segurança de Dados Avançada | Microsoft Defender para Nuvem | Defender para SQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para registros de contêiner |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para DNS |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Key Vault |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Kubernetes |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para MySQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para PostgreSQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Resource Manager |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para armazenamento |
| Azure Defender | Microsoft Defender para Nuvem | Defender para gerenciamento de Surface de ataque externo |
| Azure Defender | Microsoft Defender para Nuvem | Defender para Azure Cosmos DB |
| Azure Defender | Microsoft Defender para Nuvem | Defender para contêineres |
| Azure Defender | Microsoft Defender para Nuvem | Defender para MariaDB |
| Central de Segurança | Microsoft Defender para Nuvem | Defender do Serviço de Aplicativo |
| Central de Segurança | Microsoft Defender para Nuvem | Defender para servidores |
| Central de Segurança | Microsoft Defender para Nuvem | GPSN do Defender |
Defender para servidores no nível de recurso disponível como GA
24 de dezembro de 2023
Agora é possível gerenciar Defender para servidores em recursos específicos em sua assinatura, oferecendo controle total sobre sua estratégia de proteção. Com essa funcionalidade, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações estabelecidas no nível da assinatura.
Saiba mais sobre enabling Defender para servidores no nível do recurso.
Desativação dos conectores clássicos para multinuvem
21 de dezembro de 2023
A experiência do conector clássico multinuvem foi desativada e os dados não são mais transmitidos para conectores criados por meio desse mecanismo. Esses conectores clássicos foram usados para conectar as recomendações do Hub de Segurança do AWS e da Central de Comandos de Segurança do GCP para Defender para Nuvem e integrar EC2s do AWS ao Defender para Servidores.
O valor completo desses conectores foi substituído pela experiência nativa de conectores de segurança multinuvem, em disponibilidade geral para a AWS e o GCP desde março de 2022 sem custo extra.
Os novos conectores nativos estão incluídos em seu plano e oferecem uma experiência de integração automatizada com opções para integrar contas individuais, várias contas (com o Terraform) e integração organizacional com provisionamento automático para os seguintes planos de Defender: recursos básicos gratuitos do CSPM, Defender CSPM (Cloud Security Posture Management), Defender para Servidores, Defender para SQL e Defender para contêineres.
Lançamento da pasta de trabalho Cobertura
21 de dezembro de 2023
A pasta de trabalho Cobertura permite que você acompanhe quais Defender para Nuvem planos estão ativos em quais partes de seus ambientes. Esta pasta de trabalho pode ajudar você a garantir que seus ambientes e assinaturas estejam totalmente protegidos. Ao ter acesso a informações detalhadas de cobertura, você também pode identificar qualquer área que possa precisar de outra proteção e agir para lidar com essas áreas.
Saiba mais sobre a pasta de trabalho cobertura.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender em Azure Governamental e Azure operados pela 21Vianet
14 de dezembro de 2023
A VA (avaliação de vulnerabilidade) para imagens de contêiner do Linux em registros de contêiner Azure alimentados por Gerenciamento de Vulnerabilidades do Microsoft Defender é lançada para GA (Disponibilidade Geral) em Azure Governamental e Azure operados pela 21Vianet. Esta nova versão está disponível no Defender para contêineres e Defender para planos de Registros de Contêiner.
- Como parte dessa mudança, novas recomendações foram lançadas para GA e incluídas no cálculo da pontuação segura. Revise recomendações de segurança novas e atualizadas
- A verificação de imagem de contêiner alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender agora também incorre em encargos de acordo com plan pricing. As imagens verificadas por nossa oferta de VA de contêiner alimentada por qualys e oferta de VA de contêiner alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender serão cobradas apenas uma vez.
As recomendações do Qualys para Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuam disponíveis para clientes que habilitaram Defender para Contêineres em qualquer uma de suas assinaturas antes desta versão. Novos clientes integrando Defender para Contêineres após esta versão verão apenas as novas recomendações de avaliação de vulnerabilidade de contêiner alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender.
Visualização pública do suporte Windows para a Avaliação de Vulnerabilidade de Contêineres da Gerenciamento de Vulnerabilidades do Microsoft Defender
14 de dezembro de 2023
O suporte para imagens Windows foi liberado em versão prévia pública como parte da VA (avaliação de vulnerabilidade) alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender para registros de contêiner Azure e Azure Serviços kubernetes.
A desativação da avaliação de vulnerabilidade do contêiner da AWS da plataforma Trivy
13 de dezembro de 2023
A avaliação de vulnerabilidade de contêiner da plataforma Trivy está agora em um caminho de desativação a ser concluído até 13 de fevereiro. Essa funcionalidade agora está preterida e continuará disponível para clientes existentes usando essa funcionalidade até 13 de fevereiro. Incentivamos os clientes que usam esse recurso a atualizar para a nova avaliação de vulnerabilidade de contêiner AWS alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender até 13 de fevereiro.
Postura de contêiner sem agente para AWS em Defender para contêineres e GPSN do Defender (versão prévia)
13 de dezembro de 2023
Os novos recursos da Postura de contêiner sem agente (versão prévia) estão disponíveis para a AWS. Para obter mais informações, consulte A postura de contêiner sem caracteres em GPSN do Defender e Aguardação sem caracteres em Defender para contêineres.
Suporte de disponibilidade geral para o Servidor Flexível do PostgreSQL em Defender para o plano de bancos de dados relacionais de software livre
13 de dezembro de 2023
Estamos anunciando a versão ga (disponibilidade geral) do suporte ao Servidor Flexível do PostgreSQL no plano Microsoft Defender para bancos de dados relacionais de software livre. Microsoft Defender para bancos de dados relacionais de software livre fornece proteção avançada contra ameaças aos Servidores Flexíveis do PostgreSQL, detectando atividades anômalas e gerando alertas de segurança .
Saiba como Enable Microsoft Defender para bancos de dados relacionais de software livre.
A avaliação de vulnerabilidade de contêiner alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte ao Google Distroless
12 de dezembro de 2023
As avaliações de vulnerabilidade de contêiner alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender foram estendidas com mais cobertura para pacotes do sistema operacional Linux, agora dando suporte ao Google Distroless.
Para obter uma lista de todos os sistemas operacionais com suporte, consulte Registries e suporte de imagens para Azure - Avaliação de vulnerabilidades alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender.
Novembro de 2023
Quatro alertas foram preteridos
30 de novembro de 2023
Como parte do nosso processo de melhoria de qualidade, os seguintes alertas de segurança são preteridos:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilidade geral da verificação de segredos sem agente em Defender para servidores e GPSN do Defender
27 de novembro de 2023
A verificação de segredos sem agente aprimora o Máquinas Virtuais baseado em nuvem de segurança (VM) identificando segredos de texto sem formatação em discos de VM. A verificação de segredos sem agente fornece informações abrangentes para ajudar a priorizar as descobertas detectadas e reduzir os riscos de movimentação lateral antes que elas ocorram. Essa abordagem proativa impede o acesso não autorizado, garantindo que seu ambiente de nuvem permaneça seguro.
Estamos anunciando a GA (Disponibilidade Geral) da verificação de segredos sem agente, que está incluída nos planos Defender para Servidores P2 e GPSN do Defender.
A verificação de segredos sem agente utiliza APIs de nuvem para capturar instantâneos de seus discos, realizando análises fora de banda que garantem que não haja nenhum efeito no desempenho da VM. A verificação de segredos sem agente amplia a cobertura oferecida por Defender para Nuvem sobre ativos de nuvem em ambientes Azure, AWS e GCP para aprimorar a segurança na nuvem.
Com esta versão, os recursos de detecção do Defender para Nuvem agora dão suporte a outros tipos de banco de dados, URLs assinadas do armazenamento de dados, tokens de acesso e muito mais.
Saiba como Gerenciar segredos com verificação de segredos sem agente.
Habilitar o gerenciamento de permissões com Defender para Nuvem (versão prévia)
22 de novembro de 2023
Microsoft agora oferece soluções Cloud-Native CNAPP (Application Protection Platforms) e CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem) com Microsoft Defender para Nuvem (CNAPP) e gerenciamento de permissões Microsoft Entra (CIEM).
Os administradores de segurança podem obter uma exibição centralizada de suas permissões de acesso não utilizados ou excessivas em Defender para Nuvem.
As equipes de segurança podem conduzir os controles de acesso de privilégios mínimos para recursos de nuvem e receber recomendações acionáveis para resolver riscos de permissões em ambientes de nuvem Azure, AWS e GCP como parte de seus Defender CSPM (Gerenciamento de Postura de Segurança na Nuvem), sem nenhum requisito de licenciamento extra.
Saiba como Gerenciamento de permissões no Microsoft Defender para Nuvem (versão prévia).
integração Defender para Nuvem com o ServiceNow
22 de novembro de 2023
O ServiceNow agora está integrado ao Microsoft Defender para Nuvem, que permite que os clientes conectem o ServiceNow ao ambiente de Defender para Nuvem para priorizar a correção de recomendações que afetam sua empresa. Microsoft Defender para Nuvem integra-se ao módulo ITSM (gerenciamento de incidentes). Como parte dessa conexão, os clientes podem criar/exibir tíquetes do ServiceNow (vinculados a recomendações) de Microsoft Defender para Nuvem.
Saiba mais sobre Defender para Nuvem integração com o ServiceNow.
Disponibilidade Geral do processo de provisionamento automático para SQL Servers no plano de computadores
20 de novembro de 2023
Em preparação para a substituição do MMA (Agente de Monitoramento de Microsoft) em agosto de 2024, Defender para Nuvem lançou um processo de provisionamento automático do AMA (Agente de Monitoramento de Azure) direcionado a SQL Server. O novo processo é habilitado e configurado automaticamente para todos os novos clientes e também fornece a capacidade de habilitação em nível de recurso para SQL do Azure VMs e SQL Servers habilitados para Arc.
Os clientes que usam o processo de provisionamento automático do MMA são solicitados a igrar para o novo agente de monitoramento de Azure para SQL Server no processo de provisionamento automático de máquinas. O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.
Disponibilidade geral de Defender para APIs
15 de novembro de 2023
Estamos anunciando a GA (Disponibilidade Geral) de Microsoft Defender para APIs. Defender para APIs foi projetado para proteger as organizações contra ameaças à segurança da API.
Defender para APIs permite que as organizações protejam suas APIs e dados contra atores mal-intencionados. As organizações podem investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar e responder rapidamente ameaças ativas em tempo real. As organizações também podem integrar alertas de segurança diretamente em sua plataforma siem (Gerenciamento de Eventos e Incidentes de Segurança), por exemplo, Microsoft Sentinel, para investigar e triagem de problemas.
Você pode aprender a Proteger suas APIs com Defender para APIs. Você também pode saber mais sobre About Microsoft Defender para APIs.
Você também pode ler este blog para saber mais sobre o anúncio de GA.
Defender para Nuvem agora está integrado ao Microsoft 365 Defender (versão prévia)
15 de novembro de 2023
As empresas podem proteger seus recursos e dispositivos de nuvem com a nova integração entre Microsoft Defender para Nuvem e Microsoft Defender XDR. Essa integração conecta os pontos entre recursos, dispositivos e identidades de nuvem, que antes exigiam várias experiências.
A integração também traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com Microsoft Defender XDR, as equipes do SOC podem descobrir facilmente ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Microsoft 365 e muito mais.
Alguns dos principais benefícios incluem:
Uma interface fácil de usar para equipes soc: com os alertas de Defender para Nuvem e correlações de nuvem integrados ao M365D, as equipes do SOC agora podem acessar todas as informações de segurança de uma única interface, melhorando significativamente a eficiência operacional.
Uma história de ataque: os clientes são capazes de entender a história completa do ataque, incluindo seu ambiente de nuvem, usando correlações pré-criadas que combinam alertas de segurança de várias fontes.
De novas entidades de nuvem no Microsoft Defender XDR: Microsoft Defender XDR agora dá suporte a novas entidades de nuvem exclusivas para Microsoft Defender para Nuvem, como recursos de nuvem. Os clientes podem corresponder entidades de máquina virtual (VM) a entidades de dispositivo, fornecendo uma exibição unificada de todas as informações relevantes sobre uma máquina, incluindo alertas e incidentes que foram disparados nela.
APIunificada para produtos Segurança da Microsoft: os clientes agora podem exportar seus dados de alertas de segurança para seus sistemas de escolha usando uma única API, pois Microsoft Defender para Nuvem alertas e incidentes agora fazem parte da API pública do Microsoft Defender XDR.
A integração entre Defender para Nuvem e Microsoft Defender XDR está disponível para todos os clientes Defender para Nuvem novos e existentes.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender (MDVM) em Defender para contêineres e Defender para registros de contêineres
15 de novembro de 2023
A VA (avaliação de vulnerabilidade) para imagens de contêiner do Linux em registros de contêiner Azure alimentados por Gerenciamento de Vulnerabilidades do Microsoft Defender (MDVM) é lançada para GA (Disponibilidade Geral) em Defender para Contêineres e Defender para Registros de Contêiner.
Como parte dessa mudança, as seguintes recomendações foram lançadas para GA e renomeadas, e agora estão incluídas no cálculo da pontuação segura:
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do Registro de Contêiner devem ter as conclusões de vulnerabilidade resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de CVEs (vulnerabilidades conhecidas) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| A execução de imagens de contêiner deve ter as conclusões de vulnerabilidade resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
A verificação de imagem de contêiner alimentada pela MDVM agora também incorre em encargos de acordo com os preços do plano.
Note
As imagens examinadas por nossa oferta de VA de contêiner da plataforma Qualys e pela oferta de VA de contêiner da plataforma MDVM serão cobradas apenas uma vez.
As recomendações do Qualys abaixo para Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuarão disponíveis para clientes que habilitaram Defender para Contêineres em qualquer uma de suas assinaturas antes de 15 de novembro. Novos clientes que integram Defender para contêineres após 15 de novembro verão apenas as novas recomendações de avaliação de vulnerabilidade de contêiner alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender.
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas – (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Alterar para nomes de recomendação de avaliações de vulnerabilidade de contêiner
As seguintes recomendações de Avaliações de vulnerabilidade de contêiner foram renomeadas:
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas – (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
| As imagens do Registro do contêiner elástico devem ter as descobertas de vulnerabilidade resolvidas | As imagens do contêiner de registro da AWS devem ter vulnerabilidades resolvidas - (alimentadas por Trivy) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
A priorização de riscos já está disponível para recomendações
15 de novembro de 2023
Agora você pode priorizar suas recomendações de segurança de acordo com o nível de risco que elas representam, levando em consideração a capacidade de exploração e o potencial efeito comercial de cada problema de segurança subjacente.
Ao organizar suas recomendações com base em seu nível de risco (Crítico, alto, médio, baixo), você é capaz de abordar os riscos mais críticos em seu ambiente e priorizar com eficiência a correção de problemas de segurança com base no risco real, como exposição à Internet, sensibilidade de dados, possibilidades de movimentação lateral e possíveis caminhos de ataque que poderiam ser mitigados com a resolução das recomendações.
Saiba mais sobre a priorização de risco.
Análise de caminho de ataque: novo mecanismo e aprimoramentos abrangentes
15 de novembro de 2023
Estamos lançando aprimoramentos para os recursos de análise de caminho de ataque no Defender para Nuvem.
Novo mecanismo – a análise de caminho de ataque tem um novo mecanismo, que usa o algoritmo de localização de caminho para detectar todos os caminhos de ataque possíveis que existem em seu ambiente de nuvem (com base nos dados que temos em nosso grafo). Podemos encontrar muito mais caminhos de ataque em seu ambiente e detectar padrões de ataque mais complexos e sofisticados que os invasores podem usar para violar sua organização.
Melhorias – As seguintes melhorias são lançadas:
- Priorização de risco – lista priorizada de caminhos de ataque com base no risco (explorabilidade e impacto nos negócios).
- Correção aprimorada – identificando as recomendações específicas que devem ser resolvidas para realmente quebrar a cadeia.
- Caminhos de ataque entre nuvens – detecção de caminhos de ataque que são nuvens cruzadas (caminhos que começam em uma nuvem e terminam em outra).
- MITRE – Mapeando todos os caminhos de ataque para a estrutura MITRE.
- Experiência do usuário atualizada – experiência atualizada com recursos mais fortes: filtros avançados, pesquisa e agrupamento de caminhos de ataque para permitir uma triagem mais fácil.
Saiba como identificar e corrigir caminhos de ataque.
Alterações no esquema de tabela de Azure Resource Graph do Caminho de Ataque
15 de novembro de 2023
O esquema de tabela de Azure Resource Graph do caminho de ataque é atualizado. A propriedade attackPathType é removida e outras propriedades são adicionadas.
Versão de disponibilidade geral do suporte do GCP no GPSN do Defender
15 de novembro de 2023
Estamos anunciando a versão ga (disponibilidade geral) do grafo de segurança de nuvem contextual GPSN do Defender e análise de caminho de ataque com suporte para recursos GCP. Você pode aplicar o poder de GPSN do Defender para visibilidade abrangente e segurança de nuvem inteligente em recursos GCP.
Os principais recursos do nosso suporte à GCP incluem:
- Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
- Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
- Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre GPSN do Defender opções de plano.
Note
A cobrança para a versão ga do suporte do GCP em GPSN do Defender começará em 1º de fevereiro de 2024.
Versão de disponibilidade geral do painel de segurança de dados
15 de novembro de 2023
O painel de segurança de dados agora está disponível em GA (Disponibilidade Geral) como parte do plano de GPSN do Defender.
O painel de segurança de dados permite que você visualize o estado de dados da sua organização, os riscos para dados confidenciais e insights sobre seus recursos de dados.
Saiba mais sobre o painel de segurança de dados.
Disponibilidade geral da descoberta de dados confidenciais para bancos de dados
15 de novembro de 2023
A descoberta de dados confidenciais para bancos de dados gerenciados, incluindo bancos de dados SQL do Azure e instâncias de RDS do AWS (todos os tipos RDBMS) agora está disponível em geral e permite a descoberta automática de bancos de dados críticos que contêm dados confidenciais.
Para habilitar esse recurso em todos os armazenamentos de dados com suporte em seus ambientes, você precisa habilitar Sensitive data discovery em GPSN do Defender. Saiba como habilitar a descoberta de dados confidenciais no GPSN do Defender.
Você também pode aprender como a descoberta dados confidenciais é usada na postura de segurança com reconhecimento de dados.
Comunicado de visualização pública: A visibilidade expandida da segurança de dados multinuvem no Microsoft Defender para Nuvem.
Nova versão da recomendação para localizar as atualizações do sistema ausentes agora é GA
6 de novembro de 2023
Um agente extra não é mais necessário em suas VMs Azure e computadores Azure Arc para garantir que os computadores tenham todas as atualizações de segurança ou de sistema críticas mais recentes.
A nova recomendação de atualizações do sistema, System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure) no controle Apply system updates, baseia-se no Update Manager e agora é totalmente GA. A recomendação depende de um agente nativo inserido em cada VM Azure e computadores Azure Arc em vez de um agente instalado. A correção rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.
As versões antiga e nova das recomendações para encontrar atualizações de sistema ausentes estarão disponíveis até agosto de 2024, que é quando a versão mais antiga é preterida. Ambas as recomendações: System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure)and System updates should be installed on your machines estão disponíveis sob o mesmo controle: Apply system updates e tem os mesmos resultados. Portanto, não há duplicação no efeito na pontuação de segurança.
Recomendamos migrar para a nova recomendação e remover a antiga, desabilitando-a da iniciativa interna do Defender para Nuvem em Azure política.
A recomendação [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) também é GA e é um pré-requisito, que terá um efeito negativo em sua Pontuação Segura. Você pode corrigir o efeito negativo com a Correção disponível.
Para aplicar a nova recomendação, você precisa:
- Conecte seus computadores não Azure ao Arc.
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)para corrigir a recomendação.
Note
A habilitação de avaliações periódicas para computadores habilitados para Arc que Defender para Servidores Plano 2 não está habilitada em sua Assinatura ou Conector relacionada, está sujeita a preços Gerenciador de Atualizações do Azure. Os computadores habilitados para Arc que
Outubro de 2023
| Date | Update |
|---|---|
| 30 de outubro | Alterando a gravidade do alerta de segurança do controle adaptativo de aplicativos |
| 25 de outubro | revisões Gerenciamento de API do Azure Offline removidas do Defender para APIs |
| 19 de outubro | Recomendações de gerenciamento de postura de segurança do DevOps disponíveis na versão prévia pública |
| 18 de outubro | Releasing CIS Azure Foundations Benchmark v2.0.0 no painel conformidade regulatória |
Alterar a severidade do alerta de segurança do controle de aplicativo adaptável
Data do comunicado: 30 de outubro de 2023
Como parte do processo de melhoria da qualidade do alerta de segurança de Defender para servidores e, como parte do recurso adaptive application controls, a gravidade do seguinte alerta de segurança está mudando para "Informativo":
| Alerta [Tipo de alerta] | Descrição do alerta |
|---|---|
| A violação da política de controle de aplicativo adaptável foi auditada. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Os usuários abaixo executaram aplicativos que violam a política de controle de aplicativo da sua organização neste computador. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo. |
Para continuar exibindo esse alerta na página "Alertas de segurança" no portal do Microsoft Defender para Nuvem, altere o filtro de exibição padrão Severity para incluir alertas informational na grade.
Revisões de Gerenciamento de API do Azure offline removidas do Defender para APIs
25 de outubro de 2023
Defender para APIs atualizou seu suporte para revisões de API Gerenciamento de API do Azure. As revisões offline não aparecem mais no Defender integrado para inventário de APIs e não parecem mais estar integradas a Defender para APIs. As revisões offline não permitem que nenhum tráfego seja enviado a elas e não representam risco de uma perspectiva de segurança.
Recomendações de gerenciamento de postura de segurança do DevOps disponíveis na versão prévia pública
19 de outubro de 2023
Novas recomendações de gerenciamento de postura de DevOps agora estão disponíveis em versão prévia pública para todos os clientes com um conector para Azure DevOps ou GitHub. O gerenciamento de postura do DevOps ajuda a reduzir a superfície de ataque de ambientes de DevOps, descobrindo pontos fracos nas configurações de segurança e controles de acesso. Saiba mais sobre o gerenciamento de postura do DevOps.
Liberando o CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulatória
18 de outubro de 2023
Microsoft Defender para Nuvem agora dá suporte ao CIS Azure Security Foundations Benchmark – versão 2.0.0 no dashboard e uma iniciativa de política interna no Azure Policy. O lançamento da versão 2.0.0 no Microsoft Defender para Nuvem é um esforço conjunto de colaboração entre Microsoft, o Centro de Segurança da Internet (CIS) e as comunidades de usuários. A versão 2.0.0 expande significativamente o escopo da avaliação, que agora inclui mais de 90 políticas de Azure internas e êxito nas versões anteriores 1.4.0 e 1.3.0 e 1.0 em Microsoft Defender para Nuvem e Azure Policy. Para obter mais informações, confira esta postagem no blog.
Setembro de 2023
Alterar para o limite diário Log Analytics
Azure monitor oferece a capacidade de set um limite diário nos dados que são ingeridos em seus workspaces do Log Analytics. No entanto, atualmente, não há suporte a eventos de segurança do Defender para Nuvem nessas exclusões.
O Log Analytics Daily Cap não exclui mais o seguinte conjunto de tipos de dados:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Todos os tipos de dados faturáveis serão limitados se o limite diário for atingido. Essa mudança melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.
Saiba mais sobre workspaces com Microsoft Defender para Nuvem.
Painel de Segurança de Dados disponível em visualização pública
27 de setembro de 2023
O painel de segurança de dados agora está disponível em versão prévia pública como parte do plano de GPSN do Defender. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina os riscos significativos para dados confidenciais, priorizando alertas e caminhos potenciais de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.
Versão prévia: novo processo de provisionamento automático para SQL Server no plano de computadores
21 de setembro de 2023
O MMA (Agente de Monitoramento de Microsoft) está sendo preterido em agosto de 2024. Defender para Nuvem updado sua estratégia substituindo o MMA pelo lançamento de um processo de provisionamento automático do Agente de Monitoramento Azure direcionado SQL Server.
Durante a visualização, os clientes que estão usando o processo de provisionamento automático do MMA com a opção Azure Monitor Agent (versão prévia) são solicitados a igrate para o novo Azure Monitoring Agent para o processo de provisionamento automático do SQL Server em computadores (versão prévia). O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.
Para obter mais informações, consulte Migrate to SQL Server-targeted Azure Monitoring Agent autoprovisioning process.
GitHub Segurança Avançada para alertas de Azure DevOps no Defender para Nuvem
20 de setembro de 2023
Agora você pode exibir GitHub alertas de SEGURANÇA Avançada para Azure DevOps (GHAzDO) relacionados ao CodeQL, segredos e dependências no Defender para Nuvem. Os resultados são exibidos na página DevOps e em Recomendações. Para ver esses resultados, integre seus repositórios habilitados para GHAzDO para Defender para Nuvem.
Saiba mais sobre GitHub Advanced Security for Azure DevOps.
Funcionalidade isenta agora disponível para Defender para recomendações de APIs
11 de setembro de 2023
Agora você pode isentar recomendações para o Defender a seguir para recomendações de segurança de APIs.
| Recommendation | Descrição e política relacionada | Severity |
|---|---|---|
| (Versão prévia) Os pontos de extremidade de API não utilizados devem ser desabilitados e removidos do serviço Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | Low |
| (Versão prévia) Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados em Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas em Gerenciamento de API do Azure, essa recomendação avalia a execução da autenticação por meio das Chaves de Assinatura, JWT e Certificado do Cliente configurados em Gerenciamento de API do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação. | High |
Saiba mais sobre recomendações exempting no Defender para Nuvem.
Criar alertas de exemplo para Defender para detecções de APIs
11 de setembro de 2023
Agora você pode gerar alertas de exemplo para as detecções de segurança que foram lançadas como parte do Defender para visualização pública de APIs. Saiba mais sobre generando alertas de exemplo em Defender para Nuvem.
Versão prévia: a avaliação de vulnerabilidade de contêineres alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte à verificação no pull
6 de setembro de 2023
A avaliação de vulnerabilidade de contêineres alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte a um gatilho adicional para verificação de imagens extraídas de um ACR. Esse gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes que verificam imagens enviadas por push para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.
Esse novo gatilho começará a ser distribuído hoje e deverá estar disponível para todos os clientes até o final de setembro.
Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
6 de setembro de 2023
O formato de nomenclatura dos benchmarks de base do CIS (Center for Internet Security) no painel de conformidade foi alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Consulte a tabela a seguir:
| Nome atual | Novo Nome |
|---|---|
| CIS do Azure 1.1.0 | CIS Azure Foundations v1.1.0 |
| CIS do Azure 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| CIS GCP 1.1.0 | CIS GCP Foundations v1.1.0 |
| CIS GCP 1.2.0 | CIS GCP Foundations v1.2.0 |
Saiba como melhorar sua conformidade regulatória.
Descoberta de dados confidenciais para bancos de dados PaaS (prévia)
5 de setembro de 2023
Os recursos de postura de segurança com reconhecimento de dados para a descoberta de dados confidenciais sem atrito para bancos de dados paaS (bancos de dados SQL do Azure e instâncias de RDS da Amazon de qualquer tipo) agora estão em versão prévia pública. Essa visualização pública permite que você crie um mapa dos seus dados críticos, onde quer que eles residam, e o tipo de dados que é encontrado nesses bancos de dados.
A descoberta de dados confidenciais para bancos de dados Azure e AWS, adiciona à taxonomia e à configuração compartilhadas, que já está disponível publicamente para recursos de armazenamento de objetos de nuvem (Armazenamento de Blobs do Azure, buckets do AWS S3 e buckets de armazenamento GCP) e fornece uma única experiência de configuração e habilitação.
Os bancos de dados são verificados semanalmente. Se você habilitar sensitive data discovery, a descoberta será executada em 24 horas. Os resultados podem ser exibidos no Cloud Security Explorer ou analisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.
A postura de segurança com reconhecimento de dados para bancos de dados está disponível por meio do plano GPSN do Defender e é habilitada automaticamente em assinaturas em que sensitive data discovery opção está habilitada.
Você pode saber mais sobre a postura de segurança consciente dos dados nos artigos a seguir:
- Suporte e pré-requisitos para a postura de segurança com reconhecimento de dados
- Habilitar a postura de segurança com reconhecimento de dados
- Explorar os riscos para dados confidenciais
Disponibilidade Geral (GA): verificação de malware no Defender para Armazenamento
1º de setembro de 2023
A verificação de malware agora está geralmente disponível (GA) como um complemento para Defender para Armazenamento. A verificação de malware no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando Microsoft Defender recursos antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. A funcionalidade de verificação de malware é uma solução de SaaS sem agente que permite a configuração em escala e dá suporte à automação de respostas também em escala.
Saiba mais sobre a verificação malware no Defender for Storage.
A verificação de malware é precificada de acordo com seu orçamento e seu uso de dados. A cobrança será iniciada em 3 de setembro de 2023. Visite a página de preços para obter mais informações.
Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.
Leia a Microsoft Defender para Nuvem postagem no blog do comunicado.
Agosto de 2023
As atualizações de agosto incluem:
Defender para contêineres: descoberta sem agente para Kubernetes
30 de agosto de 2023
Estamos empolgados em apresentar o Defender For Containers: descoberta sem agente para Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos abrangentes de inventário para ambientes Kubernetes. A nova oferta de contêiner é alimentada pelo grafo de segurança contextual Defender para Nuvem. Veja o que é possível esperar desta atualização mais recente:
- Descoberta sem agente para o Kubernetes
- Funcionalidades abrangentes de inventário
- Insights de segurança específicos do Kubernetes
- Busca de risco aprimorada com o Cloud Security Explorer
A descoberta sem agente do Kubernetes agora está disponível para todos os clientes do Defender For Containers. Comece a usar essas funcionalidades avançadas hoje. Incentivamos você a atualizar suas assinaturas para ter o conjunto completo de extensões habilitado e se beneficiar das adições e recursos mais recentes. Visite o painel Environment e configurações da assinatura Defender para Contêineres para habilitar a extensão.
Note
Habilitar as adições mais recentes não incorrerá em novos custos para Defender ativos para clientes contêineres.
Para obter mais informações, consulte Overview do Microsoft Defender de segurança de contêiner para contêineres.
Versão de recomendação: Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais
22 de agosto de 2023
Uma nova recomendação no Defender for Storage foi lançada. Essa recomendação garante que o Defender para Armazenamento esteja habilitado no nível da assinatura com recursos de verificação de malware e detecção de ameaças de dados confidenciais.
| Recommendation | Description |
|---|---|
| Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de Armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. Com uma simples configuração sem agente em escala, quando habilitado no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura serão protegidas automaticamente. Você também pode excluir contas de armazenamento específicas de assinaturas protegidas. |
Essa nova recomendação substitui a recomendação atual Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, essa recomendação ainda estará disponível em nuvens Azure Governamental.
Saiba mais sobre Microsoft Defender for Storage.
Propriedades estendidas em Defender para Nuvem alertas de segurança são mascaradas de logs de atividades
17 de agosto de 2023
Recentemente, alteramos a forma como os alertas de segurança e os logs de atividades são integrados. Para uma maior proteção das informações confidenciais dos clientes, não incluímos mais essas informações nos logs de atividades. Em vez disso, nós as mascaramos com asteriscos. No entanto, essas informações ainda estão disponíveis por meio da API de alertas, da exportação contínua e do portal Defender para Nuvem.
Os clientes que dependem de logs de atividades para exportar alertas para suas soluções SIEM devem considerar o uso de uma solução diferente, pois não é o método recomendado para exportar Defender para Nuvem alertas de segurança.
Para obter instruções sobre como exportar alertas de segurança Defender para Nuvem para SIEM, SOAR e outros aplicativos de terceiros, consulte Stream alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.
Versão prévia do suporte ao GCP no GPSN do Defender
15 de agosto de 2023
Estamos anunciando a versão prévia do GPSN do Defender análise contextual do grafo de segurança de nuvem e do caminho de ataque com suporte para recursos do GCP. Você pode aplicar o poder de GPSN do Defender para visibilidade abrangente e segurança de nuvem inteligente em recursos GCP.
Os principais recursos do nosso suporte à GCP incluem:
- Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
- Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
- Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre GPSN do Defender opções de plano.
Novos alertas de segurança no Defender para Servidores Plano 2: Detectando possíveis ataques que abusam de extensões de máquina virtual Azure
7 de agosto de 2023
Esta nova série de alertas se concentra na detecção de atividades suspeitas de Azure extensões de máquina virtual e fornece insights sobre as tentativas dos invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.
Microsoft Defender para servidores agora podem detectar atividades suspeitas das extensões de máquina virtual, permitindo que você obtenha uma melhor cobertura da segurança das cargas de trabalho.
Azure extensões de máquina virtual são aplicativos pequenos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:
- Para coleta e monitoramento de dados.
- Para execução de código e implantação de configuração com altos privilégios.
- Para redefinir credenciais e criar usuários administrativos.
- Para criptografar discos.
Aqui está uma tabela dos novos alertas.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia) (VM_GPUExtensionSuspiciousFailure) |
Intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia. | Impact | Medium |
|
Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia) (VM_GPUDriverExtensionUnusualExecution) Esse alerta foi lançado em julho de 2023. |
A instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais. | Impact | Low |
|
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousScript) |
Um comando Executar com um script suspeito foi detectado em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar o Comando Executar para executar código mal-intencionado com privilégios elevados em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
|
Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousFailure) |
Falha no uso suspeito não autorizado do Run Command e foi detectado em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com privilégios altos em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. | Execution | Medium |
|
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousUsage) |
O uso suspeito do Run Command foi detectado em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar o Comando Executar para executar código mal-intencionado com privilégios elevados em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. | Execution | Low |
|
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia) (VM_SuspiciousMultiExtensionUsage) |
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente. | Reconnaissance | Medium |
|
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia) (VM_DiskEncryptionSuspiciousUsage) |
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completo em suas máquinas virtuais por meio do Azure Resource Manager na tentativa de executar a atividade de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões. | Impact | Medium |
|
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais (versão prévia) (VM_VMAccessSuspiciousUsage) |
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. | Persistence | Medium |
| A extensão Desired State Configuration (DSC) com um script suspeito foi detectada em sua máquina virtual (versão prévia) (VM_DSCExtensionSuspiciousScript) |
Desired State Configuration (DSC) com um script suspeito foi detectada em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão Desired State Configuration (DSC) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com privilégios elevados, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
|
Suspicious uso de uma extensão de Desired State Configuration (DSC) foi detectado em suas máquinas virtuais (versão prévia) (VM_DSCExtensionSuspiciousUsage) |
O uso suspeito de uma extensão de Desired State Configuration (DSC) foi detectado em suas máquinas virtuais analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão Desired State Configuration (DSC) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com privilégios elevados, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. | Impact | Low |
|
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia) (VM_CustomScriptExtensionSuspiciousCmd) (Esse alerta já existe e foi aprimorado com métodos de detecção e lógica mais aprimorados.) |
A extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de script personalizado para executar código mal-intencionado com privilégios elevados em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
Consulte os alertas baseados em extensão no Defender for Servers.
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.
Modelo de negócios e atualizações de preços para planos de Defender para Nuvem
1 de agosto de 2023
Microsoft Defender para Nuvem tem três planos que oferecem proteção de camada de serviço:
Defender para Key Vault
Defender para Resource Manager
Defender para DNS
Esses planos foram transferidos para um novo modelo de negócios com preços e embalagens diferentes para atender aos comentários dos clientes sobre a previsibilidade de gastos e a simplificação da estrutura geral de custos.
Resumo de alterações de preços e modelo de negócios:
Os clientes existentes do Defender para Key-Vault, Defender para Resource Manager e Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender para Resource Manager: este plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o Defender para Resource Manager novo modelo por assinatura.
Os clientes existentes do Defender para Key-Vault, Defender para Resource Manager e Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender para Resource Manager: este plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o Defender para Resource Manager novo modelo por assinatura.
- Defender para Key Vault: este plano tem um preço fixo por cofre, por mês, sem encargos excedentes. Os clientes podem alternar para o novo modelo de negócios selecionando o Defender para Key Vault novo modelo por cofre
- Defender para DNS: Defender para servidores Clientes do Plano 2 obtêm acesso a Defender para o valor DNS como parte de Defender para Servidores Plano 2 sem custo adicional. Os clientes que têm Defender para o Plano de Servidor 2 e Defender para DNS não são mais cobrados por Defender para DNS. Defender para DNS não está mais disponível como um plano autônomo.
Saiba mais sobre os preços desses planos na página de preços Defender para Nuvem.
Julho de 2023
As atualizações de julho incluem:
| Date | Update |
|---|---|
| 31 de julho | Preview versão da Avaliação de Vulnerabilidade de contêineres alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender em Defender para Contêineres e Defender para Registros de Contêiner |
| 30 de julho | A postura de contêiner sem GPSN do Defender agora está disponível |
| 20 de julho | Management de atualizações automáticas para Defender para o Ponto de Extremidade para Linux |
| 18 de julho | |
| 12 de julho | Novo alerta de segurança no Defender para servidores plano 2: detectando possíveis ataques aproveitando Azure extensões de driver de GPU de VM |
| 9 de julho | Suporte para desabilitar descobertas de vulnerabilidade específicas |
| 1º de julho | A postura de segurança com reconhecimento de dados já está em disponibilidade geral |
Versão prévia da avaliação de vulnerabilidade de contêineres com Gerenciamento de Vulnerabilidades do Microsoft Defender
31 de julho de 2023
Estamos anunciando a versão da VA (Avaliação de Vulnerabilidade) para imagens de contêiner do Linux em registros de contêiner Azure alimentados por Gerenciamento de Vulnerabilidades do Microsoft Defender em Defender para Contêineres e Defender para Registros de Contêiner. A nova oferta de VA de contêiner será fornecida juntamente com nossa oferta de VA de contêiner existente alimentada por Qualys em ambos os Defender para Contêineres e Defender para Registros de Contêineres, e incluirá novas verificações diárias de imagens de contêiner, informações de explorabilidade, suporte para SCA (sistema operacional e linguagens de programação) e muito mais.
Essa nova oferta começará a ser distribuída hoje e deverá estar disponível para todos os clientes até 7 de agosto.
Saiba mais sobre a avaliação de vulnerabilidade container com Gerenciamento de Vulnerabilidades do Microsoft Defender.
A postura de contêiner sem agente no GPSN do Defender agora está disponível em geral
30 de julho de 2023
Os recursos de postura de contêiner sem agente agora estão disponíveis em geral (GA) como parte do plano GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem).
Saiba mais sobre agem de contêiner sem caracteres no GPSN do Defender.
Gerenciamento de atualizações automáticas para Defender para Ponto de Extremidade para Linux
20 de julho de 2023
Por padrão, Defender para Nuvem tenta atualizar seu Defender para agentes do Ponto de Extremidade para Linux integrados com a extensão MDE.Linux. Com esta versão, você pode gerenciar essa configuração e recusar a configuração padrão para gerenciar seus ciclos de atualização manualmente.
Verificação de segredos sem agente para máquinas virtuais em Defender para servidores P2 & GPSN do Defender
18 de julho de 2023
A verificação de segredos agora está disponível como parte da verificação sem agente no Defender para servidores P2 e GPSN do Defender. Essa funcionalidade ajuda a detectar segredos não gerenciados e inseguros salvos em máquinas virtuais em Azure ou recursos do AWS que podem ser usados para se mover lateralmente na rede. Se forem detectados segredos, Defender para Nuvem poderá ajudar a priorizar e executar etapas de correção acionáveis para minimizar o risco de movimento lateral, tudo sem afetar o desempenho do computador.
Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.
Novo alerta de segurança no plano 2 do Defender para Servidores: detectando possíveis ataques aproveitando Azure extensões de driver de GPU de VM
12 de julho de 2023
Esse alerta se concentra na identificação de atividades suspeitas aproveitando Azure máquina virtual extensões de drivergpu e fornece insights sobre as tentativas dos invasores de comprometer suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; Essas extensões geralmente são abusadas por atores de ameaça para utilizar todo o poder do cartão de GPU e executar o cryptojacking.
| Nome de Exibição do Alerta (Tipo de alerta) |
Description | Severity | Tática MITRE |
|---|---|---|---|
| Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia) (VM_GPUDriverExtensionUnusualExecution) |
A instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações de Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. | Low | Impact |
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.
Suporte para desabilitar descobertas de vulnerabilidade específicas
9 de julho de 2023
Liberação de suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Caso você tenha uma necessidade organizacional para ignorar uma descoberta de vulnerabilidade na sua imagem de registro de contêiner, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua Secure Score nem geram ruído indesejado.
Saiba como desabilitar as constatações da avaliação de vulnerabilidade em imagens do Registro de contêiner.
A postura de segurança com reconhecimento de dados já está em disponibilidade geral
1º de julho de 2023
A postura de segurança com reconhecimento de dados no Microsoft Defender para Nuvem agora está disponível em geral. Ela ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Usando a postura de segurança com reconhecimento de dados, você pode:
- Descubra automaticamente recursos de dados confidenciais em Azure e AWS.
- Avaliar a confidencialidade dos dados, a exposição de dados e como os dados fluem pela organização.
- Descobrir proativa e continuamente riscos que podem levar a violações de dados.
- Detecte atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais
Para obter mais informações, consulte Data-aware security posture in Microsoft Defender para Nuvem.
Junho de 2023
As atualizações de junho incluem:
| Date | Update |
|---|---|
| 26 de junho | Integração simplificada de contas em várias nuvens com configurações aprimoradas |
| 25 de junho | suporte ao ponto de extremidade Private para verificação de malware no Defender for Storage |
| 15 de junho | As atualizações de controle foram feitas para os padrões NIST 800-53 em conformidade regulatória |
| 11 de junho | Planificação da migração na nuvem com um caso de negócios Migrações para Azure agora inclui Defender para Nuvem |
| 7 de junho | Express configuração para avaliações de vulnerabilidade no Defender para SQL agora está disponível em geral |
| 6 de junho | Mais escopos adicionados aos Conectores Azure DevOps existentes |
| 4 de junho | descoberta baseada em agente Replacing com descoberta sem agente para recursos de contêineres no GPSN do Defender |
Integração simplificada de contas em várias nuvens com configurações aprimoradas
26 de junho de 2023
Defender para Nuvem melhorou a experiência de integração para incluir uma nova interface do usuário simplificada e instruções, além de novos recursos que permitem integrar seus ambientes AWS e GCP, fornecendo acesso a recursos avançados de integração.
Para organizações que adotaram o Hashicorp Terraform para automação, Defender para Nuvem agora inclui a capacidade de usar o Terraform como o método de implantação juntamente com o AWS CloudFormation ou o GCP Cloud Shell. Agora você pode personalizar os nomes das funções necessárias ao criar a integração. Você também pode selecionar entre:
Default access – permite que Defender para Nuvem examine seus recursos e inclua automaticamente recursos futuros.
Acesso privilegiado doLeast -Grants Defender para Nuvem acesso somente às permissões atuais necessárias para os planos selecionados.
Se você selecionar as permissões menos privilegiadas, só receberá notificações sobre quaisquer novas funções e permissões necessárias para obter a funcionalidade completa na seção de integridade do conector.
Defender para Nuvem permite distinguir entre suas contas de nuvem por seus nomes nativos dos fornecedores de nuvem. Por exemplo, codinomes de conta da AWS e nomes do projeto GCP.
Suporte a ponto de extremidade privado para verificação de malware no Defender para Armazenamento
25 de junho de 2023
O suporte ao ponto de extremidade privado agora está disponível como parte da visualização pública de verificação de malware no Defender para Armazenamento. Essa funcionalidade permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma configuração adicional é necessária.
A verificação doMalware (versão prévia) no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando Microsoft Defender recursos do Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero e dá suporte à automatização da resposta em escala.
Os pontos de extremidade privados fornecem conectividade segura aos seus serviços de Armazenamento do Azure, eliminando efetivamente a exposição pública à Internet e são considerados uma prática recomendada de segurança.
Para contas de armazenamento com pontos de extremidade privados que já têm a verificação de malware habilitada, você precisará desabilitar e habilitar o plano com verificação de malware para que isso funcione.
Saiba mais sobre como usar pontos de extremidade private no Defender for Storage e como proteger ainda mais seus serviços de armazenamento.
Recomendação lançada para visualização: a execução de imagens de contêiner deve ter as conclusões de vulnerabilidade resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender)
21 de junho de 2023
Uma nova recomendação de contêiner em GPSN do Defender da Gerenciamento de Vulnerabilidades do Microsoft Defender é lançada para visualização:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| A execução de imagens de contêiner deve ter as conclusões de vulnerabilidade resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender)(Versão prévia) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Essa nova recomendação substitui a recomendação atual de mesmo nome, alimentada pelo Qualys, somente em GPSN do Defender (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).
As atualizações de controle foram feitas para os padrões NIST 800-53 em conformidade regulatória
15 de junho de 2023
Os padrões NIST 800-53 (R4 e R5) foram atualizados recentemente com alterações de controle em Microsoft Defender para Nuvem conformidade regulatória. Os controles gerenciados por Microsoft foram removidos do padrão e as informações sobre a implementação de responsabilidade Microsoft (como parte do modelo de responsabilidade compartilhada na nuvem) agora estão disponíveis apenas no painel de detalhes do controle em Microsoft Actions.
Esses controles foram calculados anteriormente como controles passados, portanto, você pode visualizar uma queda significativa na pontuação de conformidade para padrões NIST entre abril de 2023 e maio de 2023.
Para obter mais informações sobre controles de conformidade, consulte Tutorial: verificações de conformidade regulatória – Microsoft Defender para Nuvem.
O planejamento da migração de nuvem com um caso de negócios Migrações para Azure agora inclui Defender para Nuvem
11 de junho de 2023
Agora você pode descobrir possíveis economias de custos em segurança aplicando Defender para Nuvem no contexto de um Migrações para Azure caso de negócios.
A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está disponível em geral
7 de junho de 2023
A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está disponível em geral. A configuração expressa fornece uma experiência de integração simplificada para avaliações de vulnerabilidade do SQL usando uma configuração com um clique (ou uma chamada à API). Não há configurações ou dependências extras necessárias nas contas de armazenamento gerenciadas.
Confira este blog para saber mais sobre a configuração expressa.
Você pode aprender as diferenças entre as configurações expressa e clássica.
Mais escopos adicionados aos Conectores Azure DevOps existentes
6 de junho de 2023
Defender para DevOps adicionados os seguintes escopos extras ao aplicativo Azure DevOps (ADO):
Gerenciamento avançado de segurança:
vso.advsec_manage. O que é necessário para permitir que você habilite, desabilite e gerencie GitHub Segurança Avançada para ADO.Mapeamento de contêiner:
vso.extension_manage,vso.gallery_manager; O que é necessário para permitir que você compartilhe a extensão do decorador com a organização do ADO.
Somente novos Defender para DevOps clientes que estão tentando integrar recursos do ADO para Microsoft Defender para Nuvem são afetados por essa alteração.
A integração direta (sem Azure Arc) para Defender para servidores agora está disponível em geral
5 de junho, 2023
Anteriormente, Azure Arc era necessário integrar servidores não Azure para Defender para servidores. No entanto, com a versão mais recente, você também pode integrar seus servidores locais para Defender para servidores usando apenas o agente Microsoft Defender para Ponto de Extremidade.
Esse novo método simplifica o processo de integração para clientes focados na proteção de ponto de extremidade principal e permite que você aproveite Defender para a cobrança baseada em consumo dos Servidores para ativos de nuvem e não nuvem. A opção de integração direta por meio de Defender para Ponto de Extremidade já está disponível, com cobrança para computadores integrados a partir de 1º de julho.
Para obter mais informações, consulte Conectar seus computadores não Azure para Microsoft Defender para Nuvem com Defender para Ponto de Extremidade.
Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no GPSN do Defender
4 de junho de 2023
Com os recursos de Postura de Contêiner sem Agente disponíveis em GPSN do Defender, os recursos de descoberta baseados em agente agora estão desativados. Se você atualmente usa recursos de contêiner em GPSN do Defender, verifique se as extensões relevant estão habilitadas para continuar recebendo o valor relacionado ao contêiner dos novos recursos sem agente, como caminhos de ataque, insights e inventário relacionados a contêineres. (Pode levar até 24 horas para ver os efeitos da habilitação das extensões).
Saiba mais em Postura de contêiner sem agente.
Maio de 2023
As atualizações de maio incluem:
- Um novo alerta em Defender para Key Vault.
- Suporte para verificação sem agente de discos criptografados na AWS.
- Changes em convenções de nomenclatura JIT (Just-In-Time) no Defender para Nuvem.
- A integração de regiões selecionadas da AWS.
- Alterações nas recomendações de identidade.
- Descontinuação de padrões legados no painel de conformidade.
- Update de duas recomendações de Defender para DevOps para incluir Azure DevOps descobertas de verificação
- A nova configuração padrão para a solução de avaliação de vulnerabilidade Defender para Servidores.
- Capacidade de baixar um relatório CSV dos resultados da consulta do gerenciador de segurança na nuvem (versão prévia).
- A versão da avaliação de vulnerabilidade de contêineres com Gerenciamento de Vulnerabilidades do Microsoft Defender.
- A renomeação de recomendações de contêiner alimentadas por Qualys.
- An atualização para Defender para DevOps GitHub Application.
- Change para Defender para DevOps anotações de solicitação pull em repositórios Azure DevOps que agora incluem infraestrutura como configurações incorretas de código.
Novo alerta no Defender para Key Vault
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Unusual ao cofre de chaves de um IP suspeito (não Microsoft ou Externo) (KV_UnusualAccessSuspiciousIP) |
Um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP não Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Acesso à credencial | Medium |
Para todos os alertas disponíveis, consulte Alerts para Azure Key Vault.
A verificação sem agente agora tem suporte para discos criptografados na AWS
A verificação sem agente para VMs agora suporta o processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.
Esse suporte estendido aumenta a cobertura e a visibilidade de seu espaço na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero nas instâncias em execução.
- Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é interna e suportada por padrão.
- Para clientes existentes que já possuem um conector AWS com a verificação sem agente ativada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo cloudformation atualizado inclui novas atribuições que permitem que Defender para Nuvem processem discos criptografados.
Você pode saber mais sobre as permissões usadas para verificar as instâncias da AWS.
Para reaplicar sua pilha do CloudFormation:
- Vá para Defender para Nuvem configurações de ambiente e abra o conector do AWS.
- Navegue até a guia Configurar Acesso .
- Selecione Clique para baixar o modelo do CloudFormation.
- Navegue até o ambiente da AWS e aplique o modelo atualizado.
Saiba mais sobre a verificação sem agente e a habilitação da verificação sem agente no AWS.
Convenções de nomenclatura de regra JIT (Just-In-Time) revisadas no Defender para Nuvem
Revisamos as regras JIT (Just-In-Time) para se alinharem à marca Microsoft Defender para Nuvem. Alteramos as convenções de nomenclatura para regras Firewall do Azure e NSG (Grupo de Segurança de Rede).
As alterações são listadas da seguinte maneira:
| Description | Nome Antigo | Novo Nome |
|---|---|---|
| Nomes de regras JIT (permitir e negar) no Grupo de Segurança de Rede (NSG) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrições de regras JIT no NSG | Regra de acesso à rede JIT da ASC | Regra de acesso à rede JIT do MDC |
| Nomes de coleção de regras de firewall JIT | ASC-JIT | MDC-JIT |
| Nomes de regras de firewall JIT | ASC-JIT | MDC-JIT |
Saiba como proteger suas portas de gerenciamento com acesso just-in-time.
Integrar as regiões da AWS selecionadas
Para ajudar você a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS verificar ao adicionar ou editar um conector de nuvem. Agora você pode verificar regiões específicas da AWS selecionadas ou todas as regiões disponíveis (padrão), ao integrar suas contas do AWS para Defender para Nuvem. Saiba mais em Conecte sua conta do AWS para Microsoft Defender para Nuvem.
Várias alterações nas recomendações de identidade
As seguintes recomendações agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.
Versão em GA (disponibilidade geral) das recomendações de identidade V2
A versão V2 das recomendações de identidade apresenta os aprimoramentos a seguir:
- O escopo da verificação foi expandido para incluir todos os recursos Azure, não apenas assinaturas. Isso permite que os administradores de segurança exibam atribuições de função por conta.
- As contas específicas podem agora ser isentas de avaliação. Contas do tipo acesso rápido ou contas de serviço podem ser excluídas pelos administradores de segurança.
- A frequência de verificação foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.
As seguintes recomendações de segurança estão disponíveis em disponibilidade geral e substituem as recomendações V1:
| Recommendation | Chave de Avaliação |
|---|---|
| Contas com permissões de proprietário em Azure recursos devem estar habilitadas para MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Contas com permissões de gravação em Azure recursos devem estar habilitadas para MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Contas com permissões de leitura em Azure recursos devem estar habilitadas para MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Contas de convidado com permissões de proprietário em Azure recursos devem ser removidas | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Contas de convidado com permissões de gravação em Azure recursos devem ser removidas | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Contas de convidado com permissões de leitura em Azure recursos devem ser removidas | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Contas bloqueadas com permissões de proprietário em Azure recursos devem ser removidas | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Contas bloqueadas com permissões de leitura e gravação em Azure recursos devem ser removidas | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Preterimento das recomendações de identidade V1
As seguintes recomendações de segurança foram preteridas:
| Recommendation | Chave de Avaliação |
|---|---|
| A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| A MFA deve ser habilitada em contas com permissões de gravação em assinaturas. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| A MFA deve ser habilitada em contas com permissões de leitura em assinaturas. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Contas externas com permissões de proprietário devem ser removidas das assinaturas. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Contas externas com permissões de gravação devem ser removidas das assinaturas. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Contas externas com permissões de leitura devem ser removidas das assinaturas. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. | e52064aa-6853-e252-a11e-dffc675689c2 |
| As contas preteridas devem ser removidas das assinaturas | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações V2.
Substituição de padrões herdados no painel de conformidade
O PCI DSS herdado v3.2.1 e o SOC TSP herdado foram totalmente preteridos no painel de conformidade Defender para Nuvem e substituídos pela iniciativa SOC 2 Tipo 2 e PCI DSS v4 padrões de conformidade baseados em iniciativa. Temos suporte totalmente preterido do PCI DSS standard/initiative em Microsoft Azure operado pela 21Vianet.
Saiba como personalizar o conjunto de padrões no seu painel de conformidade regulatória.
Defender para DevOps inclui Azure DevOps descobertas de verificação
Defender para DevOps Code e IaC expandiram sua cobertura de recomendação em Microsoft Defender para Nuvem para incluir Azure DevOps descobertas de segurança para as duas recomendações a seguir:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, a cobertura para Azure DevOps verificação de segurança incluía apenas a recomendação de segredos.
Saiba mais sobre Defender para DevOps.
Nova configuração padrão para a solução de avaliação de vulnerabilidade Defender para Servidores
As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger os computadores contra ataques cibernéticos e violações de dados.
Gerenciamento de Vulnerabilidades do Microsoft Defender agora está habilitada como a solução interna padrão para todas as assinaturas protegidas por Defender para servidores que ainda não têm uma solução va selecionada.
Se uma assinatura tiver uma solução de VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitada por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.
Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).
Baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem (versão prévia)
Defender para Nuvem adicionou a capacidade de baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem.
Depois de executar uma pesquisa por uma consulta, você pode selecionar o botão Download CSV (versão prévia) na página do Cloud Security Explorer em Defender para Nuvem.
Saiba como Criar consultas com o gerenciador de segurança na nuvem
A versão da avaliação de vulnerabilidade de contêineres com Gerenciamento de Vulnerabilidades do Microsoft Defender
Estamos anunciando a versão da Avaliação de Vulnerabilidade para imagens do Linux em registros de contêiner Azure alimentados por Gerenciamento de Vulnerabilidades do Microsoft Defender em GPSN do Defender. Essa versão inclui a verificação diária de imagens. As descobertas usadas no Gerenciador de Segurança e nos caminhos de ataque dependem de Microsoft Defender Avaliação de Vulnerabilidade, em vez do verificador qualys.
A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| As imagens do Registro de Contêiner devem ter as conclusões de vulnerabilidade resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | dbd0cb49-b563-45e7-9724-889e799fa648 é substituído por c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Saiba mais sobre a postura de contêineres Agem sem caracteres no GPSN do Defender.
Saiba mais sobre Gerenciamento de Vulnerabilidades do Microsoft Defender.
Renomeação das recomendações de contêiner da plataforma Qualys
As recomendações de contêiner atuais no Defender para Contêineres serão renomeada da seguinte maneira:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
atualização do aplicativo Defender para DevOps GitHub
Microsoft Defender para DevOps está constantemente fazendo alterações e atualizações que exigem Defender para DevOps clientes que integraram seus ambientes de GitHub no Defender para Nuvem para fornecer permissões como parte do aplicativo implantado em seus GitHub Organização. Essas permissões são necessárias para garantir que todos os recursos de segurança do Defender para DevOps operem normalmente e sem problemas.
Sugerimos atualizar as permissões o mais rápido possível para garantir o acesso contínuo a todos os recursos disponíveis do Defender para DevOps.
As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização, selecione GitHub Apps. Localize sua organização e selecione Examinar solicitação.
Você receberá um email automatizado do suporte GitHub. No email, selecione Revisar solicitação de permissão para aceitar ou rejeitar essa alteração.
Depois de seguir qualquer uma dessas opções, você será direcionado para a tela de revisão, na qual deverá examinar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.
Se você precisar de permissões de atualização de assistência, poderá criar uma solicitação Suporte do Azure.
Você também pode saber mais sobre Defender para DevOps. Se uma assinatura tiver uma solução de VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitada por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.
Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).
Defender para DevOps anotações de solicitação de pull em repositórios de Azure DevOps agora inclui configurações incorretas de Infraestrutura como Código
Defender para DevOps expandiu sua cobertura de anotação de SOLICITAÇÃO de Pull (PR) em Azure DevOps para incluir configurações incorretas de IaC (Infraestrutura como Código) detectadas em modelos Azure Resource Manager e Bicep.
Os desenvolvedores agora podem ver anotações de configurações incorretas de IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho de nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de severidade, uma descrição de configuração incorreta e instruções de correção dentro de cada anotação.
Anteriormente, a cobertura para anotações de RP Defender para DevOps em Azure DevOps incluía apenas segredos.
Saiba mais sobre as anotações Defender para DevOps e Pull Request.
Abril de 2023
As atualizações de abril incluem:
- A postura de contêiner sem caracteres em GPSN do Defender (versão prévia)
- Recomendação da nova versão prévia da criptografia de disco unificada
- Alterações na recomendação Computadores devem ser configurados com segurança
- Preterimento das políticas de monitoramento de linguagem do Serviço de Aplicativo
- De novo alerta no Defender para Resource Manager
- os alertas Three no Defender para Resource Manager plano foram preteridos
- A exportação automática deAlerts para Log Analytics workspace foi preterida
- Deprecation e melhoria de alertas selecionados para servidores Windows e Linux
- Novas recomendações relacionadas à autenticação Microsoft Entra para Azure Data Services
- Duas recomendações relacionadas a atualizações do sistema operacional (SO) ausentes foram publicadas em Disponibilidade Geral (GA)
- Defender para APIs (versão prévia)
Postura de contêiner sem agente em GPSN do Defender (versão prévia)
Os novos recursos de postura de contêiner sem agente (versão prévia) estão disponíveis como parte do plano GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem).
A Postura de Contêiner sem Agente permite que as equipes de segurança identifiquem riscos de segurança em contêineres e realms do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade em seus registros do kubernetes e contêineres em SDLC e runtime, removendo atrito e volume das cargas de trabalho.
A Postura de Contêiner sem Agente oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise do caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades de contêiner específicas. Você também pode usar o gerenciador de segurança de nuvem para descobrir riscos e buscar insights de postura de contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostos à Internet.
Saiba mais em Postura de contêiner sem agente (versão prévia).
Recomendação da criptografia de disco unificada (versão prévia)
Há novas recomendações de criptografia de disco unificada em versão prévia.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Essas recomendações substituem Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detectou Azure Disk Encryption e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detectou EncryptionAtHost. O ADE e o EncryptionAtHost fornecem uma cobertura de criptografia em repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detectam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiverem. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).
As novas recomendações exigem Gerenciamento Automatizado do Azure Machine Configuration.
Essas recomendações são baseadas nas seguintes políticas:
- (Versão prévia) Windows máquinas virtuais devem habilitar Azure Disk Encryption ou EncryptionAtHost
- as máquinas virtuais Linux (versão prévia) devem habilitar Azure Disk Encryption ou EncryptionAtHost
Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.
Alterações na recomendação Os computadores devem ser configurados com segurança
A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha sua experiência com o comportamento genérico das recomendações de Defender para Nuvem.
Como parte dessa atualização, a ID das recomendações foi alterada de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.
Nenhuma ação é necessária no lado do cliente e não há expectativa de impacto na pontuação de segurança.
Preterimento das políticas de monitoramento de linguagem do Serviço de Aplicativo
As seguintes políticas de monitoramento de linguagem do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Você sempre deve garantir que está usando uma versão de linguagem sem nenhuma vulnerabilidade conhecida.
| Nome da política | ID da Política |
|---|---|
| os aplicativos |
496223c3-ad65-4ecd-878a-bae78737e9ed |
| os aplicativos |
7008174a-fd10-4ef0-817e-fc820a951d73 |
| os aplicativos |
9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| os aplicativos |
7238174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de linguagem especificada para os Serviços de Aplicativos.
Essas políticas não estão mais disponíveis nas recomendações internas do Defender para Nuvem. Você pode add-los como recomendações personalizadas ter Defender para Nuvem monitorá-los.
Novo alerta no Defender para Resource Manager
Defender para Resource Manager tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada (ARM_SuspiciousComputeCreation) |
Microsoft Defender para Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Azure Conjunto de Dimensionamento. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada. |
Impact | Medium |
Você pode ver uma lista de todos os alerts disponíveis para Resource Manager.
Três alertas no Defender para Resource Manager plano foram preteridos
Os três alertas a seguir para o Defender para Resource Manager plano foram preteridos:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Em um cenário em que a atividade de um endereço IP suspeito é detectada, um dos seguintes alertas do plano Defenders para Resource Manager Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.
A exportação automática de alertas para Log Analytics workspace foi preterida
Os alertas de segurança do Defenders para Nuvem são exportados automaticamente para um workspace de Log Analytics padrão no nível do recurso. Isso causa um comportamento indeterminado e, portanto, esse recurso foi preterido.
Em vez disso, você pode exportar seus alertas de segurança para um workspace Log Analytics dedicado com ExportaçãoContinuosa.
Se você já configurou a exportação contínua de seus alertas para um workspace Log Analytics, nenhuma ação adicional será necessária.
Substituição e melhoria de alertas selecionados para servidores Windows e Linux
O processo de melhoria da qualidade do alerta de segurança para Defender para servidores inclui a substituição de alguns alertas para servidores Windows e Linux. Os alertas preteridos agora são provenientes e cobertos por Defender para alertas de ameaça de ponto de extremidade.
Se você já tiver o Defender para integração do Ponto de Extremidade habilitado, nenhuma ação adicional será necessária. Você poderá observar uma diminuição no volume de alertas em abril de 2023.
Se você não tiver o Defender para integração do Ponto de Extremidade habilitado no Defender para Servidores, será necessário habilitar o Defender para a integração do Ponto de Extremidade para manter e melhorar a cobertura de alertas.
Todos os Defender para clientes de Servidores têm acesso total ao Defender para integração do Ponto de Extremidade como parte do plano Defender for Servers.
Você pode saber mais sobre Microsoft Defender para Ponto de Extremidade opções de integração.
Você também pode ver a lista completa de alertas que estão definidos para serem preteridos.
Leia o blog Microsoft Defender para Nuvem.
Novas recomendações relacionadas à autenticação Microsoft Entra para Azure Data Services
Adicionamos quatro novas recomendações de autenticação de Microsoft Entra para Azure Data Services.
| Nome da recomendação | Descrição da recomendação | Policy |
|---|---|---|
| Instância Gerenciada de SQL do Azure modo de autenticação deve ser somente Microsoft Entra ID | Desabilitar métodos de autenticação local e permitir apenas Microsoft Entra autenticação melhora a segurança, garantindo que SQL do Azure Instâncias Gerenciadas possam ser acessadas exclusivamente por identidades Microsoft Entra ID. | Instância Gerenciada de SQL do Azure deve ter Microsoft Entra ID Somente Autenticação habilitada |
| Azure Synapse modo de autenticação do workspace deve ser Microsoft Entra ID Somente | Microsoft Entra ID apenas os métodos de autenticação melhoram a segurança, garantindo que os Workspaces do Synapse exijam exclusivamente Microsoft Entra ID identidades para autenticação. Saiba mais. | os workspaces Synapse devem usar apenas identidades Microsoft Entra ID para autenticação |
| Banco de Dados do Azure para MySQL deve ter um administrador Microsoft Entra provisionado | Provisione um administrador de Microsoft Entra para seu Banco de Dados do Azure para MySQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | A administrador de Microsoft Entra deve ser provisionado para servidores MySQL |
| Banco de Dados do Azure para PostgreSQL deve ter um administrador Microsoft Entra provisionado | Provisione um administrador de Microsoft Entra para seu Banco de Dados do Azure para PostgreSQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | A administrador de Microsoft Entra deve ser provisionado para servidores PostgreSQL |
Duas recomendações relacionadas a atualizações do sistema operacional (SO) ausentes foram publicadas em Disponibilidade Geral (GA)
As recomendações System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure) e Machines should be configured to periodically check for missing system updates foram liberadas para disponibilidade geral.
Para usar a nova recomendação, é necessário:
- Conecte seus computadores não Azure ao Arc.
-
Ative a propriedade de avaliação periódica. Você pode usar o botão Corrigir.
Na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
Depois de concluir essas etapas, você pode remover a recomendação antiga System updates should be installed on your machines, desabilitando-a da iniciativa interna do Defender para Nuvem em Azure política.
As duas versões das recomendações:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarão disponíveis até que o agente Log Analytics seja preterido em 31 de agosto de 2024, que é quando a versão mais antiga (System updates should be installed on your machines) da recomendação também será preterida. Ambas as recomendações retornam o mesmo resultado e estão disponíveis no âmbito do mesmo controle de Apply system updates.
A nova recomendação System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure) tem um fluxo de correção disponível por meio do botão Corrigir, que pode ser usado para corrigir quaisquer resultados por meio do Gerenciador de Atualizações (versão prévia). Esse processo de correção ainda está em Versão Prévia.
A nova recomendação System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure) não deve afetar sua Pontuação Segura, pois tem os mesmos resultados da recomendação antiga System updates should be installed on your machines.
A recomendação de pré-requisito (Habilitar a propriedade de avaliação periódica ) tem um efeito negativo na sua pontuação segura. Você pode corrigir o efeito negativo com o botão Correção disponível.
Defender para APIs (versão prévia)
O Defender para Nuvem do Microsoft está anunciando que o novo Defender para APIs está disponível em versão prévia.
Defender para APIs oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs.
Defender para APIs ajuda você a obter visibilidade das APIs comercialmente críticas. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar rapidamente ameaças ativas em tempo real.
Saiba mais sobre Defender para APIs.
Março de 2023
As atualizações de março incluem:
- A nova Defender para o plano de armazenamento está disponível, incluindo verificação de malware quase em tempo real e detecção de ameaças de dados confidenciais
- Postura de segurança com reconhecimento de dados (versão prévia)
- experiência Improved para gerenciar as políticas de segurança de Azure padrão
- GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem) agora está disponível em geral (GA)
- Option para criar recomendações personalizadas e padrões de segurança no Microsoft Defender para Nuvem
- Microsoft MCSB (cloud security benchmark) versão 1.0 agora está disponível para ga (disponibilidade geral)
- Alguns padrões de conformidade regulatória agora estão disponíveis nas nuvens governamentais
- A nova recomendação de visualização para servidores SQL do Azure
- De novo alerta no Defender para Key Vault
Um novo Defender para o plano de Armazenamento está disponível, incluindo verificação de malware quase em tempo real e detecção de ameaças de dados confidenciais
O armazenamento na nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje estamos anunciando um novo Defender para o plano de armazenamento. Se você estiver usando o plano anterior (agora renomeado como "Defender para Armazenamento (clássico)"), precisará igrar proativamente para o novo plano para usar os novos recursos e benefícios.
O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Esse plano também fornece uma estrutura de preços mais previsível e mais flexível para um melhor controle da cobertura e dos custos.
O novo plano tem novos recursos, agora em pré-visualização pública:
Detecção de eventos de exposição e exfiltração de dados confidenciais
Verificação de malware de blobs no upload em tempo quase real em todos os tipos de arquivo
Detecção de entidades sem nenhuma identidade usando tokens SAS
Esses recursos aprimoram o recurso de Monitoramento de Atividades existente com base no controle e na análise de logs do plano de dados e na modelagem comportamental para identificar os primeiros sinais de violação.
Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece um controle granular sobre a proteção de dados nos níveis de assinatura e de recursos.
Saiba mais em Overview do Microsoft Defender for Storage.
Postura de segurança com reconhecimento de dados (versão prévia)
Microsoft Defender para Nuvem ajuda as equipes de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na nuvem. O recurso permite que as equipes superem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, impedindo uma violação de dados dispendiosa.
- Descubra recursos de dados automaticamente em todo o acervo da nuvem e avalie sua acessibilidade, a confidencialidade dos dados e os fluxos de dados configurados. — Revele continuamente os riscos dos caminhos de ataque ou exposição das violações de dados de recursos de dados confidenciais que podem resultar na possibilidade de um recurso de dados usar uma técnica de movimentação lateral.
- Detecte atividades suspeitas que possam indicar uma ameaça em andamento aos recursos de dados confidenciais.
Saiba mais sobre a postura de segurança com reconhecimento de dados.
Experiência aprimorada para gerenciar as políticas de segurança de Azure padrão
Apresentamos uma experiência aprimorada de gerenciamento de políticas de segurança Azure para recomendações internas que simplificam a maneira como Defender para Nuvem clientes ajustam seus requisitos de segurança. A nova experiência inclui os seguintes novos recursos:
- Uma interface simples permite melhor desempenho e experiência ao gerenciar políticas de segurança padrão em Defender para Nuvem.
- Uma visão única de todas as recomendações de segurança internas oferecidas pelo Microsoft benchmark de segurança de nuvem (anteriormente o parâmetro de comparação de segurança Azure). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos incluídos e a relação entre os parâmetros e recomendações.
- Novos recursos, como filtros e pesquisa, foram adicionados.
Saiba como gerenciar políticas de segurança.
Leia o blog Microsoft Defender para Nuvem.
GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem) agora está disponível em geral (GA)
Estamos anunciando que GPSN do Defender agora está disponível em geral (GA). GPSN do Defender oferece todos os serviços disponíveis nos recursos do CSPM Fundamental e adiciona os seguintes benefícios:
- Análise do caminho de ataque e a API do ARG — A análise do caminho de ataque usa um algoritmo baseado em grafo que verifica o grafo de segurança da nuvem para expor os caminhos do ataque e sugere recomendações para a melhor forma de corrigir os problemas que interrompem o caminho de ataque e evitar que uma violação seja bem-sucedida. Você também pode consumir caminhos de ataque programaticamente consultando Azure Resource Graph API (ARG). Saiba como usar a Análise do caminho de ataque
- Cloud Security Explorer — use o Cloud Security Explorer para executar consultas baseadas em grafo no grafo de segurança da nuvem para identificar proativamente os riscos de segurança nos seus ambientes multinuvem. Saiba mais sobre o Cloud Security Explorer.
Saiba mais sobre GPSN do Defender.
Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender para Nuvem
Microsoft Defender para Nuvem fornece a opção de criar recomendações e padrões personalizados para AWS e GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas relativas aos seus dados. Esse recurso faz parte do plano GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem). Saiba como criar recomendações e padrões personalizados.
Microsoft MCSB (cloud security benchmark) versão 1.0 agora está disponível em geral (GA)
Microsoft Defender para Nuvem está anunciando que o Microsoft MCSB (cloud security benchmark) versão 1.0 agora está disponível em geral (GA).
O MCSB versão 1.0 substitui o AZURE Security Benchmark (ASB) versão 3 como a política de segurança padrão do Defender para Nuvem. O MCSB versão 1.0 aparece como o padrão de conformidade padrão no painel de conformidade e é habilitado por padrão para todos os clientes Defender para Nuvem.
Você também pode aprender Como Microsoft MCSB (cloud security benchmark) ajuda você a ter sucesso em sua jornada de segurança na nuvem.
Saiba mais sobre o MCSB.
Alguns padrões de conformidade regulatória agora estão disponíveis nas nuvens governamentais
Estamos atualizando esses padrões para clientes em Azure Governamental e Microsoft Azure operados pela 21Vianet.
Azure Governamental:
Microsoft Azure operado pela 21Vianet:
Saiba como Personalizar o conjunto de padrões no seu painel de conformidade regulatória.
Nova recomendação de visualização para servidores SQL do Azure
Adicionamos uma nova recomendação para servidores SQL do Azure, SQL do Azure Server authentication mode should be Azure Active Directory Only (Preview).
A recomendação baseia-se na política existente Banco de Dados SQL do Azure should have Azure Active Directory Only Authentication enabled
Essa recomendação desabilita métodos de autenticação local e permite apenas Microsoft Entra autenticação, o que melhora a segurança, garantindo que bancos de dados SQL do Azure possam ser acessados exclusivamente por identidades Microsoft Entra ID.
Saiba como criar servidores com Azure autenticação somente do AD habilitada em SQL do Azure.
Novo alerta no Defender para Key Vault
Defender para Key Vault tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Acesso negado de um IP suspeito a um cofre de chaves (KV_SuspiciousIPAccessDenied) |
Um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado por Microsoft Inteligência contra Ameaças como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. | Acesso à credencial | Low |
Você pode ver uma lista de todos os alerts disponíveis para Key Vault.
Fevereiro de 2023
As atualizações de fevereiro incluem:
- Cloud Security Explorer aprimorado
- Defender para verificações de vulnerabilidade de contêineres de execução de imagens do Linux agora GA
- Anunciando suporte para o padrão de conformidade AWS CIS 1.5.0
- Microsoft Defender para DevOps (versão prévia) agora está disponível em outras regiões
- A política interna [Versão prévia]: o ponto de extremidade privado deve ser configurado para Key Vault foi preterido
Cloud Security Explorer aprimorado
Uma versão aprimorada do Cloud Security Explorer inclui uma experiência de usuário atualizada que remove consideravelmente o atrito de consulta, adicionou a capacidade de executar consultas multinuvem e de vários recursos e inseriu a documentação para cada opção de consulta.
O Cloud Security Explorer já permite que você execute consultas abstratas na nuvem entre recursos. Use os modelos de consulta predefinidos ou a pesquisa personalizada para aplicar filtros a fim de criar sua consulta. Saiba como gerenciar o Cloud Security Explorer.
Defender para verificações de vulnerabilidade de contêineres de execução de imagens do Linux agora GA
Defender para contêineres detecta vulnerabilidades na execução de contêineres. Há suporte para contêineres Windows e Linux.
Em agosto de 2022, essa funcionalidade foi lançada em versão prévia para Windows e Linux. Agora estamos lançando-o para disponibilidade geral (GA) para o Linux.
Quando vulnerabilidades são detectadas, Defender para Nuvem gera a seguinte recomendação de segurança listando as descobertas da verificação: Imagens de contêiner de execução devem ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como exibir vulnerabilidades para execução de imagens.
Anunciando suporte para o padrão de conformidade AWS CIS 1.5.0
Defender para Nuvem agora dá suporte ao padrão de conformidade CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes do MDC para recomendações e padrões multinuvem.
Esse novo padrão inclui recomendações existentes e novas que estendem a cobertura do Defender para Nuvem para novos serviços e recursos do AWS.
Saiba como Gerenciar avaliações e padrões da AWS.
Microsoft Defender para DevOps (versão prévia) agora está disponível em outras regiões
Microsoft Defender para DevOps expandiu sua versão prévia e agora está disponível nas regiões Da Europa Ocidental e Leste da Austrália, quando você integra seus recursos de Azure DevOps e GitHub.
Saiba mais sobre Microsoft Defender para DevOps.
A política interna [versão prévia]: o ponto de extremidade privado deve ser configurado para Key Vault foi preterido
A política interna [Preview]: Private endpoint should be configured for Key Vault é preterida e substituída pela política [Preview]: Azure Key Vaults should use private link.
Saiba mais sobre antegrando Azure Key Vault com Azure Policy.
Janeiro de 2023
As atualizações em janeiro incluem:
- O componente de proteção do ponto de extremidade (Microsoft Defender para Ponto de Extremidade) agora é acessado na página Configurações e monitoramento
- Nova versão da recomendação para localizar as atualizações do sistema ausentes (Versão prévia)
- Cleanup de computadores Azure Arc excluídos em contas AWS e GCP conectadas
- Permitir exportação contínua para os Hubs de Eventos protegidos por um firewall
- O nome do controle de pontuação seguro Proteger proteger seus aplicativos com Azure soluções de rede avançadas foi alterado
- A política As configurações de Avaliação de Vulnerabilidade do SQL Server devem conter um endereço de email para receber os relatórios de exame foi preterida
- Recomando para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquinas Virtuais foi preterido
O componente proteção do ponto de extremidade (Microsoft Defender para Ponto de Extremidade) agora é acessado na página Configurações e monitoramento
Para acessar o Endpoint Protection, navegue até Environment settings>Defender plans>Settings and monitoring. A partir daqui, você pode definir a proteção do Ponto de Extremidade como Ativada. Você também pode ver os outros componentes gerenciados.
Saiba mais sobre enabling Microsoft Defender para Ponto de Extremidade em seus servidores com Defender para Servidores.
Nova versão da recomendação para localizar as atualizações do sistema ausentes (Versão prévia)
Você não precisa mais de um agente em suas VMs Azure e computadores Azure Arc para garantir que os computadores tenham todas as atualizações de segurança ou de sistema críticas mais recentes.
A nova recomendação de atualizações do sistema, System updates should be installed on your machines (powered by Gerenciador de Atualizações do Azure) no controle Apply system updates, baseia-se no Update Manager (versão prévia). A recomendação depende de um agente nativo inserido em cada VM Azure e computadores Azure Arc em vez de um agente instalado. A Correção Rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.
Para usar a nova recomendação, é necessário:
- Conectar seus computadores não Azure ao Arc
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
A recomendação existente de "Atualizações do sistema devem ser instaladas em seus computadores", que depende do agente Log Analytics, ainda está disponível sob o mesmo controle.
Limpeza de computadores Azure Arc excluídos em contas AWS e GCP conectadas
Um computador conectado a uma conta AWS e GCP coberta por Defender para Servidores ou Defender para SQL em computadores é representado em Defender para Nuvem como um computador Azure Arc. Até agora, esse computador não foi excluído do inventário, quando o computador foi excluído da conta AWS ou GCP. Levando a recursos Azure Arc desnecessários deixados em Defender para Nuvem que representa computadores excluídos.
Defender para Nuvem agora excluirá automaticamente Azure Arc computadores quando esses computadores forem excluídos na conta AWS ou GCP conectada.
Permitir exportação contínua para os Hubs de Eventos protegidos por um firewall
Agora você pode habilitar a exportação contínua de alertas e recomendações, como um serviço confiável para hubs de eventos protegidos por um firewall de Azure.
Você pode habilitar a exportação contínua, à medida que as recomendações ou os alertas são gerados. Você também pode definir um agendamento para enviar instantâneos periódicos de todos os novos dados.
Saiba como habilitar a exportação continua para um Hub de Eventos por trás de um firewall Azure.
O nome do controle de pontuação segura Proteger proteger seus aplicativos com Azure soluções de rede avançadas é alterado
O controle de pontuação segura, Protect your applications with Azure advanced networking solutions é alterado para Protect applications against DDoS attacks.
O nome atualizado é refletido no Azure Resource Graph (ARG), na API de Controles de Pontuação Segura e no Download CSV report.
A política As configurações de Avaliação de Vulnerabilidade do SQL Server devem conter um endereço de email para receber os relatórios de exame foi preterida
A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.
O Defender do relatório de email de avaliação de vulnerabilidades do SQL ainda está disponível e as configurações de email existentes não foram alteradas.
A recomendação para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquinas Virtuais foi preterida
A recomendação Diagnostic logs in Conjuntos de Dimensionamento de Máquinas Virtuais should be enabled foi preterida.
A definição de política relacionada também foi preterida de todos os padrões exibidos no painel de conformidade regulatória.
| Recommendation | Description | Severity |
|---|---|---|
| Os logs de diagnóstico no Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados | Habilite os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou quando a rede é comprometida. | Low |
Dezembro de 2022
As atualizações de dezembro incluem:
Anunciando a configuração expressa para avaliação de vulnerabilidade no Defender para SQL
A configuração expressa para avaliação de vulnerabilidade no Microsoft Defender para SQL fornece às equipes de segurança uma experiência de configuração simplificada em bancos de dados SQL do Azure e pools de SQL dedicados fora dos Workspaces do Synapse.
Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:
- Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
- Adicione imediatamente os resultados da verificação às linhas de base para que o status da localização mude de Não íntegro para íntegro sem examinar novamente um banco de dados.
- Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
- Habilite a avaliação de vulnerabilidade para todos os servidores SQL do Azure quando você ativa Microsoft Defender para bancos de dados no nível da assinatura.
Saiba mais sobre Defender para avaliação de vulnerabilidade do SQL.
Novembro de 2022
As atualizações de novembro incluem:
- Proteger contêineres em sua organização GCP com Defender para Contêineres
- Validate Defender para proteções de contêineres com alertas de exemplo
- Regras de governança em escala (versão prévia)
- A capacidade de criar avaliações personalizadas na AWS e no GCP (Versão prévia) foi preterida
- A recomendação para configurar filas de mensagens mortas para funções Lambda foi preterida
Proteger contêineres em sua organização GCP com Defender para contêineres
Agora você pode habilitar Defender para Contêineres para seu ambiente GCP proteger clusters GKE padrão em toda uma organização GCP. Basta criar um conector GCP com Defender para contêineres habilitados ou habilitar Defender para Contêineres em um conector GCP de nível de organização existente.
Saiba mais sobre conectar projetos e organizações do GCP para Defender para Nuvem.
Validar Defender para proteções de contêineres com alertas de exemplo
Agora você pode criar alertas de exemplo também para Defender para o plano contêineres. Os novos alertas de exemplo são apresentados como sendo do AKS, clusters conectados ao Arc, recursos EKS e GKE com diferentes severidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alerta de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.
Saiba mais sobre a validação de alerta.
Regras de governança em escala (versão prévia)
Estamos felizes em anunciar a nova capacidade de aplicar regras de governança em escala (versão prévia) em Defender para Nuvem.
Com essa nova experiência, as equipes de segurança podem definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipes de segurança podem realizar essa tarefa usando escopos de gerenciamento, como grupos de gerenciamento de Azure, contas de nível superior do AWS ou organizações GCP.
Além disso, a página Regras de governança (versão prévia) apresenta todas as regras de governança disponíveis que são efetivas nos ambientes da organização.
Saiba mais sobre as novas regras de governança em escala.
Note
A partir de 1º de janeiro de 2023, para experimentar os recursos oferecidos pela Governança, você deve ter o plano GPSN do Defender habilitado em sua assinatura ou conector.
A capacidade de criar avaliações personalizadas na AWS e no GCP (Versão prévia) foi preterida
A capacidade de criar avaliações personalizadas para contas do AWS e projetos GCP, que era um recurso de versão prévia, foi preterida.
A recomendação para configurar filas de mensagens mortas para funções Lambda foi preterida
A recomendação Lambda functions should have a dead-letter queue configured foi preterida.
| Recommendation | Description | Severity |
|---|---|---|
| As funções Lambda devem ter uma fila de mensagens mortas configurada | Esse controle verifica se uma função Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar a função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas atua da mesma forma que um destino em caso de falha. É usada quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você veja erros ou solicitações com falha para que a função Lambda depure ou identifique comportamentos incomuns. Do ponto de vista de segurança, é importante entender por que a função falhou e garantir que a função não remova dados nem comprometa a segurança dos dados consequentemente. Por exemplo, se a função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de DoS (Negação de Serviço) em outro lugar na rede. | Medium |
Outubro de 2022
As atualizações de outubro incluem:
- Anualizando o Microsoft cloud security benchmark
- A análise de caminho de ataque e recursos de segurança contextual no Defender para Nuvem (versão prévia)
- A verificação sem caracteres para computadores Azure e AWS (versão prévia)
- Defender para DevOps (versão prévia)
- O Painel de Conformidade Regulatório agora dá suporte ao gerenciamento de controle manual e informações detalhadas sobre o status de conformidade do Microsoft
- O provisionamento automático foi renomeado para Configurações e monitoramento e tem uma experiência atualizada
- Defender CSPM (Cloud Security Posture Management) (versão prévia)
- O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
- Defender para contêineres agora dá suporte à avaliação de vulnerabilidade do Registro de Contêiner Elástico (versão prévia)
Anunciando o parâmetro de comparação de segurança de nuvem Microsoft
O Microsoft benchmark de segurança de nuvem (MCSB) é uma nova estrutura que define princípios fundamentais de segurança na nuvem com base em padrões comuns do setor e estruturas de conformidade. Junto com diretrizes técnicas detalhadas para implementar essas melhores práticas entre plataformas de nuvem. O MCSB está substituindo o Azure Security Benchmark. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independente de nuvem em várias plataformas de serviço de nuvem, abrangendo inicialmente Azure e AWS.
Agora você pode monitorar sua postura de conformidade de segurança na nuvem em cada nuvem em um único painel integrado. Você pode ver o MCSB como o padrão de conformidade padrão ao navegar até o painel de conformidade regulatória do Defender para Nuvem.
Microsoft parâmetro de comparação de segurança de nuvem é atribuído automaticamente às suas assinaturas de Azure e contas do AWS ao integrar Defender para Nuvem.
Saiba mais sobre o Microsoft cloud security benchmark.
Análise de caminho de ataque e recursos de segurança contextual no Defender para Nuvem (versão prévia)
O novo grafo de segurança de nuvem, a análise do caminho de ataque e os recursos contextuais de segurança de nuvem agora estão disponíveis no Defender para Nuvem em versão prévia.
Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que encontram diariamente. Há inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolver todos eles.
os novos recursos de análise de caminho de ataque e grafo de segurança de nuvem da Defender para Nuvem dão às equipes de segurança a capacidade de avaliar o risco por trás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisarão ser resolvidos em breve. Defender para Nuvem trabalha com as equipes de segurança para reduzir o risco de uma violação afetivo em seu ambiente da maneira mais eficaz.
Saiba mais sobre o novo Grafo de Segurança da Nuvem, Análise do caminho de ataque e Cloud Security Explorer.
Verificação sem agente para computadores Azure e AWS (versão prévia)
Até agora, Defender para Nuvem baseou suas avaliações de postura para VMs em soluções baseadas em agente. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs em modo de versão prévia.
Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre CVEs de software e produtos de software instalados. Você obtém a visibilidade sem os desafios de instalação e manutenção do agente, requisitos de conectividade de rede e desempenho afetado nas suas cargas de trabalho. A análise é alimentada por Gerenciamento de Vulnerabilidades do Microsoft Defender.
A verificação de vulnerabilidades sem agente está disponível em Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) e em Defender para servidores P2, com suporte nativo para VMs AWS e Azure.
- Saiba mais sobre a verificação sem agente.
- Descubra como habilitar a avaliação de vulnerabilidade sem agente.
Defender para DevOps (versão prévia)
Microsoft Defender para Nuvem permite visibilidade abrangente, gerenciamento de postura e proteção contra ameaças em ambientes híbridos e multinuvem, incluindo Azure, AWS, Google e recursos locais.
Agora, o novo plano de Defender para DevOps integra sistemas de gerenciamento de código-fonte, como GitHub e Azure DevOps, em Defender para Nuvem. Com essa nova integração, estamos capacitando as equipes de segurança a proteger seus recursos do código até a nuvem.
Defender para DevOps permite que você obtenha visibilidade e gerencie seus ambientes de desenvolvedor conectados e recursos de código. Atualmente, você pode conectar sistemas Azure DevOps e GitHub para Defender para Nuvem e integrar repositórios de DevOps ao Inventário e à nova página de Segurança do DevOps. Isso fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem dentro deles em uma página unificada de Segurança de DevOps.
Você pode configurar anotações em solicitações de pull para ajudar os desenvolvedores a lidar com descobertas de verificação de segredos em Azure DevOps diretamente em suas solicitações de pull.
Você pode configurar as ferramentas Segurança da Microsoft DevOps em fluxos de trabalho Azure Pipelines e GitHub para habilitar as seguintes verificações de segurança:
| Name | Linguagem | License |
|---|---|---|
| Bandit | Python | Licença do Apache 2.0 |
| BinSkim | Binário – Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| CredScan (somente Azure DevOps) | O Verificador de Credenciais (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida por Microsoft para identificar vazamentos de credenciais, como aqueles em tipos comuns de código-fonte e arquivos de configuração: senhas padrão, cadeias de conexão SQL, Certificados com chaves privadas | Sem código aberto |
| Template Analyze | Modelo do ARM, arquivo Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licença do Apache 2.0 |
| Trivy | Imagens de contêiner, sistemas de arquivos, repositórios git | Licença do Apache 2.0 |
As novas recomendações abaixo agora estão disponíveis para o DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Versão prévia) As conclusões da verificação de código dos repositórios de código devem ser resolvidas | Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) | Medium |
| (Versão prévia) As conclusões de verificação de segredo dos repositórios de código devem ser resolvidas | Defender para DevOps encontrou um segredo em repositórios de código. Isso deve ser corrigido imediatamente para evitar uma violação de segurança. Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para Azure DevOps, a ferramenta Segurança da Microsoft DevOps CredScan verifica apenas os builds nos quais ele está configurado para execução. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios. (Não há política relacionada) | High |
| (Versão prévia) As conclusões de verificação do Dependabot dos repositórios de código devem ser resolvidas | Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) | Medium |
| (Versão prévia) As conclusões de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas | (Versão prévia) As descobertas de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas | Medium |
| (Versão prévia) GitHub repositórios devem ter a verificação de código habilitada | GitHub usa a verificação de código para analisar o código para encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código encontrar uma possível vulnerabilidade ou erro no código, GitHub exibirá um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto. (Não há política relacionada) | Medium |
| (Versão prévia) GitHub repositórios devem ter a verificação secreta habilitada | GitHub verifica repositórios para tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram acidentalmente confirmados em repositórios. A verificação secreta examinará todo o histórico do Git em todos os branches presentes no repositório GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Não há política relacionada) | High |
| (Versão prévia) GitHub repositórios devem ter a verificação do Dependabot habilitada | GitHub envia alertas dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Não há política relacionada) | Medium |
As recomendações de Defender para DevOps substituíram o verificador de vulnerabilidades preterido para fluxos de trabalho de CI/CD incluídos em Defender para Contêineres.
Saiba mais sobre Defender para DevOps
Agora, o painel conformidade regulatória dá suporte ao gerenciamento de controle manual e informações detalhadas sobre o status de conformidade do Microsoft
O painel de conformidade no Defender para Nuvem é uma ferramenta fundamental para os clientes ajudá-los a entender e acompanhar seu status de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de vários padrões e regulamentos diferentes.
Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e os outros. Você pode fornecer provas de conformidade para controles que não são automatizados. Junto com as avaliações automatizadas, agora você pode gerar um relatório completo de conformidade dentro de um escopo selecionado, abordando todo o conjunto de controles de determinado padrão.
Além disso, com informações de controle mais avançadas e detalhes detalhados e evidências sobre o status de conformidade do Microsoft, agora você tem todas as informações necessárias para auditorias ao seu alcance.
Alguns novos benefícios incluem:
Ações de cliente manuais fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Inclusive a capacidade de vincular provas, definir uma data de conformidade e uma data de validade.
Detalhes de controle mais avançados para padrões com suporte que mostram ações de Microsoft e manual do cliente além das ações do cliente automatizado já existentes.
Microsoft ações fornecem transparência sobre o status de conformidade do Microsoft que inclui procedimentos de avaliação de auditoria, resultados de teste e respostas Microsoft a desvios.
as ofertas Compliance fornecem um local central para verificar Azure, Dynamics 365 e produtos do Power Platform e suas respectivas certificações de conformidade regulatória.
Saiba mais sobre como Improve sua conformidade regulatória com Defender para Nuvem.
O provisionamento automático foi renomeado para Configurações e monitoramento e tem uma experiência atualizada
Renomeamos a página Autoprovisionamento para Configurações e monitoramento.
O provisionamento automático foi feito para permitir a habilitação em escala de pré-requisitos, que são necessários pelos recursos e recursos avançados da Defender para Nuvem. Para oferecer melhor suporte às nossas funcionalidades expandidas, estamos lançando uma nova experiência com as seguintes alterações:
A página de planos do Defender para Nuvem agora inclui:
- Quando você habilita um plano de Defender que requer componentes de monitoramento, esses componentes são habilitados para provisionamento automático com configurações padrão. Essas configurações podem ser editadas a qualquer momento.
- Você pode acessar as configurações de componente de monitoramento para cada plano de Defender na página de plano de Defender.
- A página Defender planos indica claramente se todos os componentes de monitoramento estão em vigor para cada plano de Defender ou se a cobertura de monitoramento está incompleta.
A página Configurações e monitoramento:
- Cada componente de monitoramento indica os planos de Defender aos quais ele está relacionado.
Saiba mais sobre como gerenciar suas configurações de monitoramento.
Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem)
Um dos principais pilares do Microsoft Defender para Nuvem para segurança na nuvem é o CSPM (Cloud Security Posture Management). O GPSN fornece diretrizes de proteção que ajudam você a melhorar a segurança de forma eficiente e eficaz. O GPSN também oferece visibilidade sobre a situação de segurança atual.
Estamos anunciando um novo plano de Defender: GPSN do Defender. Esse plano aprimora os recursos de segurança do Defender para Nuvem e inclui os seguintes recursos novos e expandidos:
- Avaliação contínua da configuração de segurança de seus recursos de nuvem
- Recomendações de segurança para corrigir configurações incorretas e fraquezas
- Classificação de segurança
- Governance
- Conformidade normativa
- Grafo de segurança da nuvem
- Análise do caminho de ataque
- Verificação sem agente para computadores
Saiba mais sobre o GPSN do Defender plano.
O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas com eficiência.
Defender para Nuvem facilita a priorização mapeando as recomendações de segurança Azure, AWS e GCP em relação ao MITRE ATT& Estrutura CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.
A estrutura MITRE ATT&CK é integrada de três maneiras:
- As recomendações mapeiam as táticas e técnicas do MITRE ATT&CK.
- Consultar MITRE ATT& Táticas e técnicas de CK em recomendações usando o Azure Resource Graph.
Defender para contêineres agora dá suporte à avaliação de vulnerabilidade do Registro de Contêiner Elástico (versão prévia)
Microsoft Defender para contêineres agora fornece verificação de avaliação de vulnerabilidade sem agente para o Registro de Contêiner Elástico (ECR) no Amazon AWS. Expandindo a cobertura para ambientes de várias nuvens, com base no lançamento no início deste ano da proteção avançada contra ameaças e do fortalecimento do ambiente do Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos do AWS em suas contas para verificar as imagens sem extrair imagens de suas contas do AWS e sem nenhum volume na carga de trabalho.
A verificação de avaliação de vulnerabilidades sem agente em busca de imagens em repositórios do ECR ajuda a reduzir a superfície de ataque de sua propriedade conteinerizada examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêiner. Com essa nova versão, Defender para Nuvem verifica as imagens de contêiner depois de serem enviadas por push para o repositório e reavaliar continuamente as imagens de contêiner do ECR no registro. As descobertas estão disponíveis em Microsoft Defender para Nuvem como recomendações e você pode usar os fluxos de trabalho automatizados internos do Defender para Nuvem para tomar medidas sobre as descobertas, como abrir um tíquete para corrigir uma vulnerabilidade de alta gravidade em uma imagem.
Saiba mais sobre avaliação de vulnerabilidade para imagens do ECR da Amazon.
Setembro de 2022
As atualizações de setembro incluem:
- Suprimir alertas com base em entidades de contêiner e do Kubernetes
- Defender para servidores dá suporte ao Monitoramento de Integridade de Arquivos com Azure Monitor Agent
- Substituição de APIs de avaliação herdada
- Recomendações extras adicionadas à identidade
- alertas de segurança Reconsecimentos de segurança para computadores que reportam a workspaces Log Analytics entre locatários
Suprimir alertas com base em entidades de contêiner e do Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Segredo do Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Trabalho do Kubernetes
- Kubernetes CronJob
Saiba mais sobre as regras de supressão de alertas.
Defender para servidores dá suporte ao Monitoramento de Integridade de Arquivos com Azure Monitor Agent
O FIM (monitoramento de integridade de arquivo) examina Registros e arquivos de sistemas operacionais para encontrar alterações que possam indicar um ataque.
O FIM agora está disponível em uma nova versão com base no AZURE MONITOR Agent (AMA), que você pode deploy por meio de Defender para Nuvem.
Substituição de APIs de avaliação herdada
As seguintes APIs foram preteridas:
- Tarefas de segurança
- Status de segurança
- Resumos de segurança
Essas três APIs expuseram formatos antigos de avaliações e são substituídas pelas APIs de Avaliações e APIs de SubAssessments. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.
Recomendações extras adicionadas à identidade
recomendações do Defender para Nuvem para melhorar o gerenciamento de usuários e contas.
Novas recomendações
A nova versão contém as seguintes funcionalidades:
Extended evaluation scope – a cobertura é aprimorada para contas de identidade sem MFA e contas externas em recursos Azure (em vez de apenas assinaturas), o que permite que seus administradores de segurança exibam atribuições de função por conta.
Intervalo de atualização aprimorado – as recomendações de identidade têm um intervalo de atualização de 12 horas.
A capacidade de isençãoaccount - Defender para Nuvem tem muitos recursos que você pode usar para personalizar sua experiência e garantir que sua pontuação segura reflita as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações da classificação de segurança.
Essa atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.
Normalmente, você isentaria contas de emergência das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso e que não têm a MFA habilitada.
Tip
Quando você isenta uma conta, ela não é mostrada como não íntegra. Isso também não faz com que uma assinatura pareça não íntegra.
Recommendation Chave de avaliação Contas com permissões de proprietário em Azure recursos devem estar habilitadas para MFA 6240402e-f77c-46fa-9060-a7ce53997754 Contas com permissões de gravação em Azure recursos devem estar habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Contas com permissões de leitura em Azure recursos devem estar habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Contas de convidado com permissões de proprietário em Azure recursos devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a Contas de convidado com permissões de gravação em Azure recursos devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Contas de convidado com permissões de leitura em Azure recursos devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Contas bloqueadas com permissões de proprietário em Azure recursos devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf Contas bloqueadas com permissões de leitura e gravação em Azure recursos devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
As recomendações, embora em versão prévia, aparecerão ao lado das recomendações que estão atualmente em GA.
Alertas de segurança removidos para computadores que reportam a workspaces Log Analytics entre locatários
No passado, Defender para Nuvem permite que você escolha o workspace ao qual seus agentes Log Analytics relatam. Quando um computador pertencia a um locatário (Locatário A), mas seu agente Log Analytics relatado a um workspace em um locatário diferente ("Locatário B"), alertas de segurança sobre o computador foram relatados ao primeiro locatário (Locatário A).
Com essa alteração, os alertas em computadores conectados a Log Analytics workspace em um locatário diferente não aparecem mais em Defender para Nuvem.
Se você quiser continuar recebendo os alertas no Defender para Nuvem, conecte o agente Log Analytics dos computadores relevantes ao workspace no mesmo locatário do computador.
Saiba mais sobre alertas de segurança.
Agosto de 2022
As atualizações de agosto incluem:
- Vulnerabilities para execução de imagens agora estão visíveis com Defender para contêineres em seus contêineres de Windows
- integração Azure Monitor Agent agora na versão prévia
- Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster do Kubernetes
As vulnerabilidades para a execução de imagens agora estão visíveis com Defender para contêineres em seus contêineres de Windows
Defender para Contêineres agora mostra vulnerabilidades para executar contêineres de Windows.
Quando vulnerabilidades são detectadas, Defender para Nuvem gera a seguinte recomendação de segurança listando os problemas detectados: As imagens de contêiner de execução devem ter descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como exibir vulnerabilidades para execução de imagens.
Integração do Azure Monitor Agent agora em versão prévia
Defender para Nuvem agora inclui suporte de visualização para o Azure Monitor Agent (AMA). A AMA destina-se a substituir o agente de Log Analytics herdado (também conhecido como MMA (Agente de Monitoramento de Microsoft), que está em um caminho para a substituição. O AMA oferece muitas vantagens em relação a agentes herdados.
Em Defender para Nuvem, quando você provisionamento automático para AMA, o agente é implantado em VMs existing e novas e computadores habilitados para Azure Arc detectados em suas assinaturas. Se os planos do Defenders para Nuvem estiverem habilitados, a AMA coletará informações de configuração e logs de eventos de Azure VMs e computadores Azure Arc. A integração do AMA está na versão prévia, portanto, recomendamos usá-la em ambientes de teste em vez de em ambientes de produção.
Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster do Kubernetes
A seguinte tabela lista os alertas que foram preteridos:
| Nome do alerta | Description | Tactics | Severity |
|---|---|---|---|
|
Operação de build do Docker detectada em um nó do Kubernetes (VM_ImageBuildOnNode) |
Os logs de computador indicam uma operação de build de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção. | Evasão de defesa | Low |
|
Solicitação suspeita para API do Kubernetes (VM_KubernetesAPI) |
Os logs do computador indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido. | LateralMovement | Medium |
|
O servidor SSH está em execução dentro de um contêiner (VM_ContainerSSH) |
Os logs do computador indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora o comportamento possa ser intencional, com frequência indica que um contêiner está configurado incorretamente ou foi violado. | Execution | Medium |
Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas de contêiner de Microsoft Defender para Nuvem (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI e K8S.NODE_ ContainerSSH), que fornecerão maior fidelidade e contexto abrangente para investigar e agir sobre os alertas. Saiba mais sobre alertas para clusters do Kubernetes.
As vulnerabilidades do contêiner agora incluem informações detalhadas do pacote
Defender da VA (avaliação de vulnerabilidade) do contêiner agora inclui informações detalhadas do pacote para cada descoberta, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão fixa. As informações do pacote permitem encontrar pacotes vulneráveis para corrigir a vulnerabilidade ou remover o pacote.
Essas informações detalhadas do pacote estão disponíveis para novas verificações de imagens.
Julho de 2022
As atualizações de julho incluem:
- GA (disponibilidade geral) do agente de segurança nativo de Nuvem para proteção de runtime do Kubernetes
- Defender para VA do contêiner adiciona suporte para a detecção de pacotes específicos de idioma (versão prévia)
- Proteger contra a vulnerabilidade do Microsoft Operations Management Infrastructure CVE-2022-29149
- Integração com o Gerenciamento de Permissões do Entra
- recomendações Key Vault alteradas para "auditoria"
- Preterir políticas de aplicativo de API para o Serviço de Aplicativo
GA (disponibilidade geral) do agente de segurança nativo de nuvem para proteção de runtime do Kubernetes
Estamos felizes em compartilhar que o agente de segurança nativo de nuvem para proteção de runtime do Kubernetes já está em GA (disponibilidade geral).
As implantações de produção dos clusters do Kubernetes continuam aumentando, à medida que os clientes continuam a conteinerização dos aplicativos. Para ajudar nesse crescimento, a equipe do Defender for Containers desenvolveu um agente de segurança orientado para Kubernetes nativo de nuvem.
O novo agente de segurança é um DaemonSet do Kubernetes, baseado na tecnologia eBPF e totalmente integrado aos clusters do AKS como parte do Perfil de Segurança do AKS.
A habilitação do agente de segurança está disponível por meio de provisionamento automático, fluxo de recomendações, RP do AKS ou em escala usando Azure Policy.
Você pode deploy do agente Defender hoje em seus clusters do AKS.
Com este anúncio, a proteção de runtime – detecção de ameaças (carga de trabalho) também já está em disponibilidade geral.
Saiba mais sobre o Defender para a disponibilidade de feature do contêiner.
Você também pode examinar todos os alertas disponíveis.
Observe que, se você estiver usando a versão prévia, o sinalizador de recursos AKS-AzureDefender não será mais necessário.
Defender para VA do contêiner adiciona suporte para a detecção de pacotes específicos do idioma (versão prévia)
Defender da VA (avaliação de vulnerabilidade) do contêiner é capaz de detectar vulnerabilidades em pacotes do sistema operacional implantados por meio do gerenciador de pacotes do sistema operacional. Agora, estendemos as habilidades da VA para detectar vulnerabilidades incluídas em pacotes específicos do idioma.
Esse recurso está em versão prévia e só está disponível para imagens do Linux.
Para ver todos os pacotes específicos do idioma incluído que foram adicionados, confira Defender da lista completa de features do contêiner e sua disponibilidade.
Proteger contra a vulnerabilidade do Microsoft Operations Management Infrastructure CVE-2022-29149
O OMI (Microsoft Operations Management Infrastructure) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e na nuvem a partir de um único local. Em vez de implantar e gerenciar recursos locais, os componentes OMI são totalmente hospedados em Azure.
Log Analytics integrado ao Azure HDInsight executando o OMI versão 13 requer um patch para corrigir CVE-2022-29149. Examine o relatório sobre essa vulnerabilidade no guia Segurança da Microsoft Update para obter informações sobre como identificar recursos afetados por essas etapas de vulnerabilidade e correção.
Se você tiver Defender para servidores habilitados com a Avaliação de Vulnerabilidades, poderá usar essa pasta de trabalho para identificar os recursos afetados.
Integração com o Gerenciamento de Permissões do Entra
Defender para Nuvem integrou Gerenciamento de Permissões do Microsoft Entra, uma solução ciem (gerenciamento de direitos de infraestrutura de nuvem) que fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso em Azure, AWS e GCP.
Cada assinatura Azure, conta do AWS e projeto GCP que você integrou agora mostrará uma exibição do Permission Creep Index (PCI).
Saiba mais sobre o Gerenciamento de Permissões do Entra (anteriormente Cloudknox)
Key Vault recomendações alteradas para "auditoria"
O efeito das recomendações de Key Vault listadas aqui foi alterado para "auditoria":
| Nome da recomendação | ID da recomendação |
|---|---|
| O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault segredos devem ter uma data de validade | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault chaves devem ter uma data de validade | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Preterir políticas de aplicativo de API para o Serviço de Aplicativo
Preterimos as seguintes políticas às políticas correspondentes que já existem para incluir aplicativos de API:
| A ser preterida | Alterando para |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Junho de 2022
As atualizações de junho incluem:
- Disponibilidade geral (GA) para Microsoft Defender para Azure Cosmos DB
- Disponibilidade geral (GA) de Defender para SQL em computadores para ambientes AWS e GCP
- Impulsionar a implementação de recomendações de segurança para aprimorar sua postura de segurança
- Filtrar alertas de segurança por endereço IP
- Alertas por grupo de recursos
- Autoprovisioning da solução unificada Microsoft Defender para Ponto de Extremidade
- A política "O aplicativo de API só deve estar acessível por HTTPS" foi preterida
- alertas New Key Vault
Disponibilidade geral (GA) para Microsoft Defender para Azure Cosmos DB
Microsoft Defender para Azure Cosmos DB agora está disponível em geral (GA) e dá suporte a tipos de conta de API SQL (principal).
Essa nova versão para GA faz parte do conjunto de proteção de banco de dados Microsoft Defender para Nuvem, que inclui diferentes tipos de bancos de dados SQL e MariaDB. Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa Azure que detecta tentativas de explorar bancos de dados em suas contas de Azure Cosmos DB.
Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, atores mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações do banco de dados por meio de identidades comprometidas ou pessoas mal-intencionadas.
Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas fornecem detalhes sobre atividades suspeitas, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.
Microsoft Defender para Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços de Azure Cosmos DB e os cruza com Microsoft Inteligência contra Ameaças e modelos comportamentais para detectar qualquer atividade suspeita. Defender para Azure Cosmos DB não acessa os dados da conta Azure Cosmos DB e não tem nenhum efeito no desempenho do banco de dados.
Saiba mais sobre Microsoft Defender para Azure Cosmos DB.
Com a adição de suporte para Azure Cosmos DB, Defender para Nuvem agora fornece uma das ofertas de proteção de carga de trabalho mais abrangentes para bancos de dados baseados em nuvem. As equipes de segurança e os proprietários de banco de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados dos ambientes deles.
Saiba como habilitar proteções para seus bancos de dados.
GA (disponibilidade geral) de Defender para SQL em computadores para ambientes AWS e GCP
Os recursos de proteção de banco de dados fornecidos pelo Microsoft Defender para Nuvem adicionaram suporte para seus servidores SQL hospedados em ambientes AWS ou GCP.
Defender para SQL, as empresas agora podem proteger toda a propriedade do banco de dados, hospedada em computadores Azure, AWS, GCP e locais.
Microsoft Defender para SQL fornece uma experiência unificada de várias nuvens para exibir recomendações de segurança, alertas de segurança e resultados de avaliação de vulnerabilidades para o SQL Server e o sistema operacional Windows sublinhado.
Usando a experiência de integração multinuvem, você pode habilitar e impor a proteção de bancos de dados para servidores SQL em execução no AWS EC2, RDS Custom para SQL Server e mecanismo de computação GCP. Após você habilitar qualquer um desses planos, todos os recursos compatíveis existentes na assinatura são protegidos. Recursos futuros criados na mesma assinatura também serão protegidos.
Saiba como proteger e conectar seu ambiente AWS e sua organização GCP com Microsoft Defender para Nuvem.
Impulsionar a implementação de recomendações de segurança para aprimorar sua postura de segurança
As ameaças crescentes de hoje às organizações desafiam os limites da equipe de segurança para proteger as próprias cargas de trabalho em expansão. As equipes de segurança são desafiadas a implementar as proteções definidas nas próprias políticas de segurança.
Agora, com a experiência de governança em versão prévia, as equipes de segurança podem atribuir a correção de recomendações de segurança aos proprietários de recursos e exigir um agendamento de correção. Eles podem ter total transparência sobre o andamento da correção e ser notificados quando as tarefas estão atrasadas.
Saiba mais sobre a experiência de governança em Estimular a sua organização a corrigir problemas de segurança com governança de recomendações.
Filtrar alertas de segurança por endereço IP
Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção “Entidades Relacionadas” no painel de alerta único. Agora, você pode filtrar os alertas no painel de alertas de segurança para ver os alertas relacionados ao endereço IP e pesquisar um endereço IP específico.
Alertas por grupo de recursos
A capacidade de filtrar, classificar e agrupar por grupo de recursos foi adicionada à página Alertas de segurança.
Uma coluna de grupo de recursos foi adicionada à grade de alertas.
Foi adicionado um novo filtro que permite exibir todos os alertas para grupos de recursos específicos.
Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas para cada um dos seus grupos de recursos.
Autoprovisionamento de Microsoft Defender para Ponto de Extremidade solução unificada
Até agora, a integração com o MDE (Microsoft Defender para Ponto de Extremidade) incluía a instalação automática da nova solução unificada MDE para computadores (assinaturas Azure e conectores multinuvem) com Defender para o Plano 1 de Servidores habilitado e para conectores multinuvem com Defender para Servidores Plano 2 habilitado. O plano 2 para assinaturas de Azure habilitou a solução unificada apenas para computadores Linux e Windows servidores 2019 e 2022. Windows servidores 2012R2 e 2016 usaram a solução herdada do MDE dependente do agente Log Analytics.
Agora, a nova solução unificada está disponível para todos os computadores em ambos os planos, tanto para assinaturas de Azure quanto para conectores multinuvem. Para assinaturas Azure com o Plano 2 de Servidores que habilitaram a integração do MDE after 20 de junho, 2022, a solução unificada é habilitada por padrão para todos os computadores Azure assinaturas com o Defender para Servidores Plano 2 habilitado com a integração do MDE before 20 de junho de 2022 agora pode habilitar a instalação da solução unificada para Windows servidores 2012R2 e 2016 por meio do botão dedicado na página Integrações:
Saiba mais sobre a integração MDE ao Defender for Servers.
A política "O aplicativo de API só deve estar acessível por HTTPS" foi preterida
A política API App should only be accessible over HTTPS foi preterida. Essa política foi substituída pela política Web Application should only be accessible over HTTPS, que foi renomeada para App Service apps should only be accessible over HTTPS.
Para saber mais sobre definições de política para Serviço de Aplicativo do Azure, consulte Azure Policy definições internas para Serviço de Aplicativo do Azure.
Novos alertas de Key Vault
Para expandir as proteções contra ameaças fornecidas por Microsoft Defender para Key Vault, adicionamos dois novos alertas.
Esses alertas informam que uma anomalia de acesso negado foi detectada para um dos cofres de chaves.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado (KV_DeniedAccountVolumeAnomaly) |
Um usuário ou entidade de serviço tentou acessar um número anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Discovery | Low |
|
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado (KV_UserAccessDeniedAnomaly) |
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. | Acesso inicial, Descoberta | Low |
Maio de 2022
As atualizações de maio incluem:
- As configurações multinuvem do plano para Servidores agora estão disponíveis em nível de conector
- O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)
- Add e remova o sensor Defender para clusters AKS usando a CLI
As configurações multinuvem do plano para Servidores agora estão disponíveis no nível do conector
Agora há configurações no nível do conector para Defender para servidores em várias nuvens.
As novas configurações em nível de conector fornecem granularidade para preços e configuração de provisionamento automático por conector, independentemente da assinatura.
Todos os componentes de provisionamento automático disponíveis no nível do conector (Azure Arc, MDE e avaliações de vulnerabilidade) são habilitados por padrão e a nova configuração dá suporte a tipos de preços Plan 1 e Plano 2.
As atualizações na interface do usuário incluem um reflexo do tipo de preço selecionado e dos componentes necessários configurados.
Alterações na avaliação de vulnerabilidade
Defender para contêineres agora exibe vulnerabilidades que têm severidades médias e baixas que não podem ser corrigidas.
Como parte dessa atualização, as vulnerabilidades que tenham gravidades médias e baixas agora são mostradas mesmo que não existam patches disponíveis. Essa atualização fornece visibilidade máxima, mas ainda permite que você filtre vulnerabilidades indesejadas usando a regra Desabilitar fornecida.
Saiba mais sobre o gerenciamento de vulnerabilidades
O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)
Quando você conecta contas do AWS, o JIT avaliará automaticamente a configuração de rede dos grupos de segurança da instância e recomendará quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com Azure. Quando você integra instâncias EC2 desprotegidas, o JIT bloqueará o acesso público às portas de gerenciamento e só as abrirá com solicitações autorizadas por um período limitado.
Saiba como o JIT protege suas instâncias EC2 do AWS
Adicionar e remover o sensor de Defender para clusters do AKS usando a CLI
O agente Defender é necessário para Defender para contêineres fornecerem as proteções de runtime e coletarem sinais de nós. Agora você pode usar o CLI do Azure para add e remover o agente Defender para um cluster do AKS.
Note
Essa opção está incluída em CLI do Azure 3.7 e superior.
Abril de 2022
As atualizações de abril incluem:
- New Defender for Servers plans
- Realocação de recomendações personalizadas
- Script do PowerShell para transmitir alertas para Splunk e QRadar
- Deprecatou a recomendação Cache do Azure para Redis
- A nova variante de alerta para Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais
- Título do alerta de verificação de contêiner aumentado com reputação de endereço IP
- Confira os logs de atividades relacionados a um alerta de segurança
Novo Defender para planos de servidores
Microsoft Defender para servidores agora é oferecido em dois planos incrementais:
- Defender para Servidores Plano 2, anteriormente Defender para Servidores
- Defender para Servidores Plano 1, fornece suporte somente para Microsoft Defender para Ponto de Extremidade
Embora o Defender para Servidores Plano 2 continue fornecendo proteções contra ameaças e vulnerabilidades para suas cargas de trabalho locais e de nuvem, o Defender para Servidores Plano 1 fornece somente proteção de ponto de extremidade, alimentado pelo Defender integrado nativamente para Ponto de Extremidade. Leia mais sobre o Defender para planos de servidores.
Se você tiver usado Defender para servidores até agora, nenhuma ação será necessária.
Além disso, Defender para Nuvem também inicia o suporte gradual para o Defender para o agente unificado do Ponto de Extremidade para Windows Server 2012 R2 e 2016. Defender para Servidores Plano 1 implanta o novo agente unificado para Windows Server 2012 cargas de trabalho R2 e 2016.
Realocação de recomendações personalizadas
Recomendações personalizadas são aquelas criadas por usuários e que não afetam a classificação de segurança. As recomendações personalizadas agora podem ser encontradas na guia “Todas as recomendações”.
Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.
Saiba mais em Criar iniciativas e políticas de segurança personalizadas.
Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar
Recomendamos usar o Hubs de Eventos e um conector interno para exportar alertas de segurança para Splunk e IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos de Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.
Basta baixar e executar o script do PowerShell. Depois que você fornece algumas informações do seu ambiente, o script configura os recursos. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.
Para saber mais, confira os alertas do Stream para Splunk e QRadar.
Preterido a recomendação de Cache do Azure para Redis
A recomendação Cache do Azure para Redis should reside within a virtual network (versão prévia) foi preterida. Alteramos nossas diretrizes para proteger Cache do Azure para Redis instâncias. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância de Cache do Azure para Redis, em vez de uma rede virtual.
Nova variante de alerta para Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais
Microsoft Defender para alertas do Armazenamento notifica você quando atores de ameaça tentam verificar e expor, com êxito ou não, contêineres de armazenamento configurados incorretamente e abertos publicamente para tentar exfiltrar informações confidenciais.
Para permitir uma triagem e um tempo de resposta mais rápidos, quando a exfiltração de dados potencialmente confidenciais pode ter ocorrido, lançamos uma nova variação do alerta existente Publicly accessible storage containers have been exposed .
O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é disparado com um nível de severidade High, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles poderiam conter informações confidenciais.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA – Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguém examinou sua conta de Armazenamento do Azure e expôs contêineres que permitem acesso público. Um ou mais dos contêineres expostos têm nomes que indicam que podem conter dados confidenciais. Isso geralmente indica o reconhecimento por um agente de ameaça que está verificando contêineres de armazenamento acessíveis publicamente configurados que podem conter dados confidenciais. Depois que um agente de ameaça descobre um contêiner com êxito, ele pode continuar exfiltrando os dados. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Título do alerta de verificação de contêiner aumentado com reputação de endereço IP
A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um autor de ameaça conhecido ou de um que está usando a rede Tor para ocultar a identidade. Ambos os indicadores sugerem que há má intenções. A reputação do endereço IP é fornecida pelo Microsoft Inteligência contra Ameaças.
A adição da reputação do endereço IP ao título do alerta oferece uma maneira de avaliar rapidamente a intenção do autor e, portanto, a gravidade da ameaça.
Os seguintes alertas incluirão essas informações:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por exemplo, as informações adicionadas ao título do alerta Publicly accessible storage containers have been exposed serão parecidas com estas:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todos os alertas de Microsoft Defender para Armazenamento continuarão a incluir informações de inteligência contra ameaças na entidade IP na seção Entidades Relacionadas do alerta.
Confira os logs de atividades relacionados a um alerta de segurança
Como parte das ações que podem ser executadas para avaliar um alerta de segurança, você pode encontrar os logs de plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. Microsoft Defender para Nuvem identifica os logs de plataforma que estão dentro de um dia do alerta.
Os logs de plataforma podem ajudar a avaliar a ameaça à segurança e identificar as etapas que você pode executar para atenuar o risco identificado.
Março de 2022
As atualizações de março incluem:
- Disponibilidade global de classificação de segurança para ambientes AWS e GCP
- Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede
- Defender para contêineres agora podem verificar vulnerabilidades em imagens Windows (versão prévia)
- De novo alerta para Microsoft Defender para Armazenamento (versão prévia)
- Definir as configurações de notificações por email de um alerta
- Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas
- Fim da recomendação de usar entidades de serviço para proteger suas assinaturas
- A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
- recomendações de dispositivo < Microsoft Defender para IoT >c0>Deprecated
- Deprecated Microsoft Defender para IoT alertas de dispositivo
- Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)
- A verificação de registro de imagens Windows no ACR adicionou suporte para nuvens nacionais
Disponibilidade global de classificação de segurança para ambientes AWS e GCP
Os recursos de gerenciamento de postura de segurança de nuvem fornecidos pelo Microsoft Defender para Nuvem agora adicionaram suporte para seus ambientes AWS e GCP em sua Pontuação Segura.
As empresas agora podem exibir sua postura de segurança geral, em vários ambientes, como Azure, AWS e GCP.
A página Pontuação Segura foi substituída pelo painel Postura de segurança. O painel de postura de segurança permite exibir uma pontuação combinada geral para todos os seus ambientes ou um detalhamento da postura de segurança com base em qualquer combinação de ambientes que você escolher.
A página Recomendações também foi reprojetada para fornecer novos recursos, como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta do AWS, projeto GCP e muito mais), interface do usuário aprimorada em baixa resolução, compatibilidade com consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura de segurança geral e recomendações de segurança.
Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede
As alterações em nosso roteiro e em nossas prioridades removeram a necessidade do agente de coleta de dados de tráfego de rede. As duas recomendações a seguir e as políticas relacionadas serão preteridas.
| Recommendation | Description | Severity |
|---|---|---|
| O agente de coleta de dados do tráfego de rede deve ser instalado nas máquinas virtuais do Linux | Defender para Nuvem usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Medium |
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | Defender para Nuvem usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Medium |
Defender para contêineres agora podem verificar vulnerabilidades em imagens de Windows (versão prévia)
Defender para verificação de imagem do contêiner agora dá suporte a imagens Windows hospedadas em Registro de Contêiner do Azure. Esse recurso é gratuito durante a versão prévia e gera um custo quando passa para disponibilidade geral.
Saiba mais em Use Microsoft Defender for Container para verificar suas imagens em busca de vulnerabilidades.
Novo alerta para Microsoft Defender para Armazenamento (versão prévia)
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Armazenamento, adicionamos um novo alerta de visualização.
Os atores de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. Microsoft Defender para Armazenamento detecta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.
Esse alerta da versão prévia é chamado Access from a suspicious application. O alerta é relevante apenas para Armazenamento de Blobs do Azure e ADLS Gen2.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA: acesso em um endereço IP suspeito (Storage.Blob_SuspiciousApp) |
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização. Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2 |
Acesso Inicial | Medium |
Definir as configurações de notificações por email de um alerta
Uma nova seção foi adicionada à interface do usuário dos alertas, que permite ver e editar quem receberá as notificações por email para os alertas disparados na assinatura atual.
Saiba como Configurar notificações por email para alertas de segurança.
Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses
O seguinte alerta de visualização foi preterido:
| Nome do alerta | Description |
|---|---|
|
VERSÃO PRÉVIA – Atividade de um endereço IP suspeito (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
A atividade de usuários de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detectada. Esses proxies são usados por usuários que desejam ocultar o endereço IP do dispositivo e podem ser usados com objetivos mal-intencionados. Essa detecção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização. Requer uma licença de Microsoft Defender para Aplicativos de Nuvem ativa. |
Um novo alerta foi criado que fornece essas informações e adiciona a ele. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença para Microsoft Defender para Aplicativos de Nuvem (anteriormente conhecido como Microsoft Cloud App Security).
Veja mais alertas para Resource Manager.
Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas
A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de classificação de segurança para a seção melhores práticas.
A experiência do usuário atual só fornece a pontuação quando todas as verificações de conformidade são aprovadas. A maioria dos clientes tem dificuldades para atender a todas as verificações necessárias. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, depois de lançada, a recomendação será movida de volta para a classificação de segurança.
Fim da recomendação de usar entidades de serviço para proteger suas assinaturas
À medida que as organizações se afastam do uso de certificados de gerenciamento para gerenciar suas assinaturas e o anúncio recente de que estamos desativando o modelo de implantação dos Serviços de Nuvem (clássico), preterimos a seguinte recomendação de Defender para Nuvem e sua política relacionada:
| Recommendation | Description | Severity |
|---|---|---|
| As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento | Os certificados de gerenciamento permitem que qualquer pessoa que os utilize para autenticação gerencie as assinaturas às quais eles estão associados. Para gerenciar assinaturas com mais segurança, é recomendável usar entidades de serviço com Resource Manager limitar o raio de explosão no caso de um comprometimento de certificado. Ele também automatiza o gerenciamento de recursos. (Política relacionada: As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento) |
Medium |
Saiba Mais:
- O modelo de implantação de Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
- Overview de Serviços de Nuvem do Azure (clássico)
- Trabalho de arquitetura de VM clássica Microsoft Azure , incluindo noções básicas de fluxo de trabalho RDFE
A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
A implementação herdada da ISO 27001 foi removida do painel de conformidade regulatória da Defender para Nuvem. Se você estiver acompanhando sua conformidade com o ISO 27001 com Defender para Nuvem, integre o novo padrão ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.
Recomendações de dispositivo de Microsoft Defender para IoT preteridas
Microsoft Defender para IoT as recomendações do dispositivo não estão mais visíveis em Microsoft Defender para Nuvem. Essas recomendações ainda estão disponíveis na página recomendações do Microsoft Defender para IoT.
As seguintes recomendações são preteridas:
| Chave de avaliação | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivos IoT | Abrir Portas no Dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivos IoT | Foi encontrada uma política de firewall permissiva em uma das cadeias |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de saída |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivos IoT | Falha na validação de linha de base do sistema operacional |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivos IoT | O agente envia mensagens subutilizadas |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivos IoT | É preciso atualizar o pacote de criptografia do TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivos IoT |
Auditd processo parou de enviar eventos |
Alertas de dispositivo de Microsoft Defender para IoT preteridos
Todos os Defender de Microsoft para alertas de dispositivo IoT não estão mais visíveis em Microsoft Defender para Nuvem. Esses alertas ainda estão disponíveis na página alerta do Microsoft Defender para IoT e em Microsoft Sentinel.
Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)
os recursos do CSPM do Defender para Nuvem estendem-se aos recursos do AWS e do GCP. Esse plano sem agente avalia os recursos multinuvem de acordo com as recomendações de segurança específicas da nuvem, que estão incluídas na sua classificação de segurança. Os recursos são avaliados quanto à conformidade usando os padrões internos. Defender para Nuvem página de inventário de ativos é um recurso habilitado para várias nuvens que permite gerenciar seus recursos do AWS junto com seus recursos de Azure.
Microsoft Defender para Servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação no AWS e GCP. O plano Defender para Servidores inclui uma licença integrada para Microsoft Defender para Ponto de Extremidade, verificação de avaliação de vulnerabilidade e muito mais. Saiba mais sobre todos os recursos com compatibilidade para máquinas virtuais e servidores. As funcionalidades de integração automática permitem que você conecte com facilidade as instâncias de computação novas ou existentes descobertas no seu ambiente.
Saiba como proteger e conectar seu ambiente AWS e GCP com Microsoft Defender para Nuvem.
Verificação do Registro para imagens de Windows no ACR adicionado suporte para nuvens nacionais
Agora há suporte para verificação de registro para imagens Windows em Azure Governamental e Microsoft Azure operados pela 21Vianet. Este complemento está atualmente em versão prévia.
Saiba mais sobre a disponibilidade do nosso recurso.
Fevereiro de 2022
As atualizações de fevereiro incluem:
- Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc
- CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP
- Microsoft Defender para Azure Cosmos DB plano lançado para versão prévia
- Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)
Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc
Defender para contêineres protegidos anteriormente apenas cargas de trabalho do Kubernetes em execução no Serviço de Kubernetes do Azure. Agora, estendemos a cobertura de proteção para incluir clusters kubernetes habilitados para Azure Arc.
Saiba como set up your Kubernetes workload protection for AKS and Azure Arc enabled Kubernetes clusters.
CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP
A nova integração automatizada de ambientes GCP permite proteger cargas de trabalho GCP com Microsoft Defender para Nuvem. Defender para Nuvem protege seus recursos com os seguintes planos:
Defender para Nuvem recursos do CSPM estendem-se aos recursos do GCP. Esse plano sem agente avalia os recursos do GCP de acordo com as recomendações de segurança específicas do GCP, que são fornecidas com Defender para Nuvem. As recomendações da GCP estão incluídas na sua pontuação de segurança e os recursos serão avaliados quanto à conformidade com o padrão CIS interno da GCP. Defender para Nuvem página de inventário de ativos é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos em Azure, AWS e GCP.
Microsoft Defender para Servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação GCP. Esse plano inclui a licença integrada para Microsoft Defender para Ponto de Extremidade, verificação de avaliação de vulnerabilidade e muito mais.
Para ver uma lista completa de recursos disponíveis, confira Recursos com suporte para máquinas virtuais e servidores. As funcionalidades de integração automática permitirão que você conecte com facilidade as instâncias de computação novas e existentes descobertas em seu ambiente.
Saiba como proteger e conectar seus projetos GCP com Microsoft Defender para Nuvem.
Microsoft Defender para o plano de Azure Cosmos DB lançado para visualização
Estendemos a cobertura do banco de dados do Microsoft Defender para Nuvem. Agora você pode habilitar a proteção para seus bancos de dados Azure Cosmos DB.
Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa Azure que detecta qualquer tentativa de explorar bancos de dados em suas contas de Azure Cosmos DB. Microsoft Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores inválidos conhecidos com base em Microsoft Inteligência contra Ameaças, padrões de acesso suspeitos e potencial exploração do banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços de Azure Cosmos DB.
Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos em Microsoft Defender para Nuvem junto com os detalhes da atividade suspeita, juntamente com as etapas de investigação relevantes, as ações de correção e as recomendações de segurança.
Não há impacto no desempenho do banco de dados ao habilitar o serviço, pois Defender para Azure Cosmos DB não acessa os dados da conta Azure Cosmos DB.
Saiba mais em Overview de Microsoft Defender para Azure Cosmos DB.
Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Agora você pode habilitar Microsoft Defender para Nuvem proteção em sua assinatura para proteger todos os tipos de banco de dados, como, Azure Cosmos DB, Banco de Dados SQL do Azure, servidores SQL do Azure em computadores e Microsoft Defender para bancos de dados relacionais de software livre por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos pela configuração do seu plano.
Saiba como habilitar a segurança do banco de dados na assinatura.
Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)
Após nosso recente anúncio Native CSPM para GCP e proteção contra ameaças para instâncias de computação GCP, o Microsoft Defender for Containers estendeu sua proteção contra ameaças do Kubernetes, análise comportamental e políticas internas de controle de admissão para os clusters padrão do Mecanismo kubernetes (GKE) do Google. Você pode integrar com facilidade todos os clusters Standard do GKE existentes ou novos ao seu ambiente por meio das nossas funcionalidades de integração automática. Confira Container security com Microsoft Defender para Nuvem, para obter uma lista completa dos recursos disponíveis.
Janeiro de 2022
As atualizações em janeiro incluem:
Microsoft Defender para Resource Manager atualizados com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT& Matriz CK® - Recomando para habilitar planos em Microsoft Defender em workspaces (em versão prévia)
- Autoprovision Log Analytics agente para computadores habilitados para Azure Arc (versão prévia)
- Preterida a recomendação para classificar dados confidenciais em banco de dados SQL
- Comunicação com alerta de domínio suspeito expandida para domínios conhecidos relacionados ao Log4Shell incluídos
- Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
- Duas recomendações renomeadas
- Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas
- Adicionada a pasta de trabalho 'Alertas Ativos'
- Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental
Microsoft Defender para Resource Manager atualizadas com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT& Matriz de CK®
A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, ela também é um possível alvo para invasores. Recomendamos que as equipes de operações de segurança monitorem atentamente a camada de gerenciamento de recursos.
Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização, sejam elas executadas por meio do portal Azure, Azure APIs REST, CLI do Azure ou outros clientes programáticos Azure. Defender para Nuvem executa análises de segurança avançadas para detectar ameaças e alertas sobre atividades suspeitas.
As proteções do plano aprimoram muito a resiliência de uma organização contra ataques contra atores de ameaças e aumentam significativamente o número de recursos Azure protegidos por Defender para Nuvem.
Em dezembro de 2020, apresentamos a versão prévia do Defender para Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.
Com essa atualização, revisamos de forma abrangente o foco do Microsoft Defender para Resource Manager plano. O plano atualizado inclui muitos novos alertas focados na identificação de invocações suspeitas de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo para ataques em toda a matriz MITRE ATT&CK® completa para técnicas baseadas em nuvem.
Essa matriz abrange a seguinte gama de possíveis intenções de agentes de ameaças que podem estar visando os recursos da sua organização: Acesso Inicial, Execução, Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Exfiltração e Impacto.
Os novos alertas para esse plano Defender abrangem essas intenções, conforme mostrado na tabela a seguir.
Tip
Os alertas também aparecem na página de referência de alertas.
| Alerta (tipo de alerta) | Description | Táticas do MITRE (intenções) | Severity |
|---|---|---|---|
|
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Acesso Inicial | Medium |
|
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Execution) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador em sua assinatura, o que pode indicar uma tentativa de executar o código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Execution | Medium |
|
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Persistence | Medium |
|
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalonar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios enquanto compromete os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Escalonamento de privilégios | Medium |
|
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evitar defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado e comprometer os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Evasão de defesa | Medium |
|
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Acesso à credencial | Medium |
|
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar a movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Movimento Lateral | Medium |
|
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Collection) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Collection | Medium |
|
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Impact) |
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Impact | Medium |
Além disso, estes dois alertas do plano saíram da versão prévia:
| Alerta (tipo de alerta) | Description | Táticas do MITRE (intenções) | Severity |
|---|---|---|---|
|
Azure Resource Manager operação de endereço IP suspeito (ARM_OperationFromSuspiciousIP) |
Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência contra ameaças. | Execution | Medium |
|
Azure Resource Manager operação de endereço IP de proxy suspeito (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP associado a serviços proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. | Evasão de defesa | Medium |
Recomendações para habilitar planos de Microsoft Defender em workspaces (em versão prévia)
Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender for Servers e Microsoft Defender para SQL em computadores, os planos devem ser habilitados em both os níveis de assinatura e workspace.
Quando um computador estiver em uma assinatura com um desses planos habilitado, você será cobrado por todas as proteções. No entanto, se esse computador estiver relatando a um workspace sem o plano habilitado, você não receberá esses benefícios.
Adicionamos duas recomendações que realçam workspaces sem esses planos habilitados, que, no entanto, têm computadores relatando a eles de assinaturas que têm o plano habilitado.
As duas recomendações, que oferecem correção automatizada (a ação "Corrigir"), são:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender para servidores deve ser habilitado em workspaces | Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para seus computadores Windows e Linux. Com esse plano de Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total de Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita Microsoft Defender para servidores em um workspace, todos os computadores que se reportam a esse workspace serão cobrados por Microsoft Defender para servidores , mesmo que estejam em assinaturas sem Defender planos habilitados. A menos que você também habilite Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso just-in-time à VM, controles de aplicativos adaptáveis e detecções de rede para recursos de Azure. Saiba mais em Overview do Microsoft Defender for Servers. (Não há política relacionada) |
Medium |
| Microsoft Defender para SQL em computadores deve ser habilitado em workspaces | Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para seus computadores Windows e Linux. Com esse plano de Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total de Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita Microsoft Defender para servidores em um workspace, todos os computadores que se reportam a esse workspace serão cobrados por Microsoft Defender para servidores , mesmo que estejam em assinaturas sem Defender planos habilitados. A menos que você também habilite Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso just-in-time à VM, controles de aplicativos adaptáveis e detecções de rede para recursos de Azure. Saiba mais em Overview do Microsoft Defender for Servers. (Não há política relacionada) |
Medium |
Provisionar automaticamente Log Analytics agente para computadores habilitados para Azure Arc (versão prévia)
Defender para Nuvem usa o agente Log Analytics para coletar dados relacionados à segurança de computadores. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu workspace para análise.
as configurações de provisionamento automático do Defender para Nuvem têm uma alternância para cada tipo de extensão com suporte, incluindo o agente de Log Analytics.
Em uma expansão adicional de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente Log Analytics para computadores conectados a Azure Arc.
Assim como as outras opções de provisionamento automático, ela é configurada no nível da assinatura.
Ao habilitar essa opção, você precisará informar o workspace.
Note
Para esta visualização, não é possível selecionar o workspace padrão criado pelo Defender para Nuvem. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para Azure Arc, verifique se você tem a solução de segurança relevante instalada no workspace selecionado.
Preterida a recomendação para classificar dados confidenciais em banco de dados SQL
Removemos a recomendação Escritossensitivos em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como Defender para Nuvem identifica e protege datas confidenciais em seus recursos de nuvem.
O aviso prévio dessa alteração apareceu nos últimos seis meses na página Importantes futuras alterações na página Microsoft Defender para Nuvem.
Comunicação com alerta de domínio suspeito expandida para domínios conhecidos relacionados ao Log4Shell incluídos
O alerta a seguir estava disponível anteriormente apenas para organizações que habilitaram o plano Microsoft Defender para DNS.
Com essa atualização, o alerta também será exibido para assinaturas com o plano Microsoft Defender for Servers ou Defender for App Service habilitado.
Além disso, Microsoft Inteligência contra Ameaças expandiu a lista de domínios mal-intencionados conhecidos para incluir domínios associados à exploração das vulnerabilidades amplamente divulgadas associadas ao Log4j.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças (AzureDNS_ThreatIntelSuspectDomain) |
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. | Acesso inicial / Persistência / Execução / Comando e controle / Exploração | Medium |
Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas de SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.
O novo botão Copiar alerta JSON coloca os detalhes do alerta, no formato JSON, na área de transferência do usuário.
Duas recomendações renomeadas
Para consistência com outros nomes de recomendação, renomeamos estas duas recomendações:
Recomendação para resolver vulnerabilidades descobertas em imagens de contêiner em execução
- Nome anterior: As vulnerabilidades nas imagens de contêiner em execução devem ser corrigidas (da plataforma Qualys)
- Novo nome: As imagens de contêiner em execução devem ter as descobertas de vulnerabilidade resolvidas
Recomendação para habilitar logs de diagnóstico para Serviço de Aplicativo do Azure
- Nome anterior: Os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
- Novo nome: Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas
A recomendação de que os contêineres de cluster do Kubernetes só devem escutar as portas permitidas foi preterida.
| Nome da política | Description | Effect(s) | Version |
|---|---|---|---|
| Os contêineres de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir a escuta dos contêineres apenas às portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para o Mecanismo do AKS e Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditar, negar, desabilitado | 6.1.2 |
A recomendação de que os serviços devem escutar somente em portas permitidas deve ser usada para limitar as portas que um aplicativo expõe à Internet.
Adicionada a pasta de trabalho 'Alertas Ativos'
Para ajudar nossos usuários a compreender as ameaças ativas nos ambientes e a priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.
A pasta de trabalho de alertas ativos permite que os usuários exibam um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas Ativos'.
Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental
A recomendação 'As atualizações do sistema devem ser instaladas no seu computador' agora está disponível em todas as nuvens governamentais.
É provável que essa alteração afete a Secure Score da sua assinatura de nuvem governamental. Esperamos que a alteração cause uma pontuação menor, mas é possível que a inclusão da recomendação possa resultar em uma pontuação maior em alguns casos.
Dezembro de 2021
As atualizações de dezembro incluem:
- Microsoft Defender para o plano de contêineres lançado para ga (disponibilidade geral)
- Novos alertas para Microsoft Defender para Armazenamento liberados para GA (disponibilidade geral)
- Improvements para alertas de Microsoft Defender para Armazenamento
- Alerta 'PortSweeping' removido dos alertas de camada de rede
Microsoft Defender para o plano de contêineres lançado para GA (disponibilidade geral)
Há mais de dois anos, introduzimos Defender para Kubernetes e Defender para registros de contêiner como parte da oferta de Azure Defender dentro de Microsoft Defender para Nuvem.
Com o lançamento de Microsoft Defender para Contêineres, mesclamos esses dois planos de Defender existentes.
O novo plano:
- Combina os recursos dos dois planos existentes: detecção de ameaças para clusters do Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
- Traz recursos novos e aprimorados – incluindo suporte multinuvem, detecção de ameaças no nível do host com mais de sessenta novas análises com conhecimento do Kubernetes e avaliação de vulnerabilidade para execução de imagens
- Apresenta a integração nativa do Kubernetes em escala – por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente
Com esta versão, a disponibilidade e a apresentação de Defender para Kubernetes e Defender para registros de contêiner foram alterados da seguinte maneira:
- Novas assinaturas – os dois planos de contêiner anteriores não estão mais disponíveis
- Assinaturas existentes – onde quer que elas apareçam no portal Azure, os planos são mostrados como Deprecated com instruções sobre como atualizar para o plano mais recente
O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para Defender para Contêineres e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Introducing Microsoft Defender for Containers.
Para obter mais informações, consulte:
- Overview de Microsoft Defender para contêineres
- Enable Microsoft Defender for Containers
- Introducing Microsoft Defender for Containers – Microsoft Tech Community
- Microsoft Defender para contêineres | Defender para Nuvem no Campo nº 3 – YouTube
Novos alertas para Microsoft Defender para Armazenamento liberados para GA (disponibilidade geral)
Os atores de ameaça usam ferramentas e scripts para verificar se há contêineres abertos publicamente na espera de encontrar contêineres de armazenamento abertos configurados incorretamente contendo dados confidenciais.
Microsoft Defender para Armazenamento detecta esses scanners para que você possa bloqueá-los e corrigir sua postura.
O alerta de visualização que detectou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, dividimos isso em dois novos alertas. Esses alertas são relevantes apenas para Armazenamento de Blobs do Azure.
Aprimoramos a lógica de detecção, atualizamos os metadados de alerta e mudamos o nome e o tipo de alerta.
Estes são os novos alertas:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Contêineres de armazenamento acessíveis publicamente descobertos com êxito (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de exame. Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles. O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Falha no exame de contêineres de armazenamento acessíveis publicamente (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Uma série de tentativas com falha para examinar contêineres de armazenamento abertos publicamente foi executada na última hora. Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles. O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Overview do Microsoft Defender for Storage
- List de alertas fornecidos pelo Microsoft Defender for Storage
Melhorias nos alertas para Microsoft Defender para Armazenamento
Os alertas de acesso inicial agora têm precisão aprimorada e mais dados para dar suporte à investigação.
Os atores de ameaça usam várias técnicas no acesso inicial para obter uma posição dentro de uma rede. Dois dos alertas Microsoft Defender for Storage que detectam anomalias comportamentais neste estágio agora têm lógica de detecção aprimorada e dados adicionais para dar suporte a investigações.
Se você configurou automações ou definiuregras de supressão de alerta para esses alertas no passado, atualize-as de acordo com essas alterações.
Detectar o acesso de um nó de saída do Tor
O acesso de um nó de saída do Tor pode indicar um ator de ameaça tentando ocultar a própria identidade.
O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.
Um padrão subjacente terá severidade alta, enquanto padrões menos anômalos terão severidade média.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso de um nó de saída do Tor a uma conta de armazenamento
- Nome do alerta (novo): acesso autenticado de um nó de saída do Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descrição: um ou mais contêineres de armazenamento/compartilhamentos de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido como nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
- Tática MITRE: acesso inicial
- Gravidade: Alta/Média
Acesso não autenticado incomum
Uma alteração nos padrões de acesso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.
Esse alerta de severidade média agora está ajustado com lógica comportamental aprimorada, maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
- Nome do alerta (novo): acesso não autenticado incomum a um contêiner de armazenamento
- Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure
- Tática MITRE: coleção
- Severidade: Média
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Introduction para Microsoft Defender for Storage
- List de alertas fornecidos pelo Microsoft Defender for Storage
Alerta 'PortSweeping' removido dos alertas de camada de rede
O seguinte alerta foi removido de nossos alertas de camada de rede devido a ineficiências:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Possível atividade de verificação de porta de saída detectada (PortSweeping) |
A análise do tráfego de rede de detectou um tráfego de saída suspeito de %{Host Comprometido}. Esse tráfego pode ser resultado de uma atividade de varredura de porta. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta é em relação Azure Termos de serviço. Se esse comportamento não for intencional, isso pode significar que seu recurso foi comprometido. | Discovery | Medium |
Novembro de 2021
Nossa versão do Ignite inclui:
- Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender para Nuvem
- CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
- Prioritizar ações de segurança por confidencialidade de dados (alimentado por Microsoft Purview) (em versão prévia)
- Expanded security control assessments with Azure Security Benchmark v3
- Microsoft Sentinel sincronização opcional de alerta bidirecional do conector lançada para GA (disponibilidade geral)
- Nova recomendação para enviar por push os logs de AKS (Serviço de Kubernetes do Azure) para Microsoft Sentinel
- Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)
Outras alterações em novembro incluem:
- Microsoft Gerenciamento de Ameaças e Vulnerabilidades adicionados como solução de avaliação de vulnerabilidade – lançada para ga (disponibilidade geral)
- Microsoft Defender para Ponto de Extremidade para Linux agora com suporte do Microsoft Defender para Servidores – liberado para ga (disponibilidade geral)
- Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)
- Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para disponibilidade geral (GA)
- Filtros de inventário de software no inventário de ativos lançados em disponibilidade geral (GA)
- Nova política de segurança do AKS adicionada à iniciativa padrão – versão prévia
- A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso
Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender para Nuvem
De acordo com o relatório Estado da Nuvem de 2021, 92% das organizações agora têm uma estratégia de várias nuvens. No Microsoft, nosso objetivo é centralizar a segurança entre ambientes e ajudar as equipes de segurança a trabalhar com mais eficiência.
Microsoft Defender para Nuvem é uma solução CSPM (Gerenciamento de Postura de Segurança de Nuvem) e CWPP (Cloud Workload Protection Platform) que descobre pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e protege cargas de trabalho em ambientes multinuvem e híbridos.
No Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger sua propriedade digital e integrar tecnologias XDR na marca Microsoft Defender. Unificar Central de Segurança do Azure e Azure Defender sob o novo nome Microsoft Defender para Nuvem reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de dar suporte a qualquer plataforma de nuvem.
CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
Uma nova página de configurações de ambiente fornece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas do AWS. A página foi projetada para integrar contas do AWS em escala: conectar sua conta de gerenciamento do AWS e você integrará automaticamente contas existentes e futuras.
Quando você adicionou suas contas do AWS, Defender para Nuvem protege seus recursos da AWS com qualquer um ou todos os planos a seguir:
- os recursos do CSPM do Defender para Nuvem se estendem aos recursos da AWS. Esse plano sem agente avalia os recursos do AWS de acordo com as recomendações de segurança específicas do AWS, as quais estão incluídas na sua classificação de segurança. Os recursos também serão avaliados quanto à conformidade com padrões internos específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário asset do Defender para Nuvem é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos do AWS junto com seus recursos de Azure.
- Microsoft Defender para Kubernetes estende sua detecção de ameaças de contêiner e defesas avançadas para seus clusters Linux Amazon EKS.
- Microsoft Defender para Servidores traz detecção de ameaças e defesas avançadas para suas instâncias Windows e Linux EC2. Esse plano inclui a licença integrada para Microsoft Defender para Ponto de Extremidade, linhas de base de segurança e avaliações de nível de sistema operacional, verificação de avaliação de vulnerabilidades, AAC (controles de aplicativo adaptáveis), FIM (monitoramento de integridade do arquivo) e muito mais.
Saiba mais sobre conectar suas contas do AWS para Microsoft Defender para Nuvem.
Priorizar ações de segurança por confidencialidade de dados (alimentado por Microsoft Purview) (em versão prévia)
Os recursos de dados continuam sendo um destino popular para atores de ameaça. Portanto, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais nos próprios ambientes de nuvem.
Para enfrentar esse desafio, Microsoft Defender para Nuvem agora integra informações de confidencialidade de Microsoft Purview. Microsoft Purview é um serviço de governança de dados unificado que fornece insights avançados sobre a confidencialidade de seus dados em cargas de trabalho locais e multinuvem.
A integração com Microsoft Purview estende sua visibilidade de segurança em Defender para Nuvem do nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.
Saiba mais em Priorizar as ações de segurança por confidencialidade de dados.
Avaliações de controle de segurança expandidas com Azure Security Benchmark v3
Recomendações de segurança em Defender para Nuvem são compatíveis com o Azure Security Benchmark.
Azure Security Benchmark é o conjunto de diretrizes Microsoft e Azure específico para as melhores práticas de segurança e conformidade com base em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.
No Ignite 2021, Azure Security Benchmark v3 está disponível no painel de conformidade regulatória do Defender para Nuvem e habilitado como a nova iniciativa padrão para todas as assinaturas Azure protegidas com Microsoft Defender para Nuvem.
Os aprimoramentos da v3 incluem:
Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e controles CIS v8.
Diretrizes mais granulares e acionáveis para controles com a introdução de:
- Princípios de Segurança – Fornecendo insights sobre os objetivos gerais de segurança que criam a base para nossas recomendações.
- Azure Guidance – o "instruções" técnico para atender a esses objetivos.
Novos controles incluem a segurança do DevOps para problemas como modelagem de ameaças e segurança da cadeia de fornecimento de software, bem como gerenciamento de chaves e certificados para práticas recomendadas em Azure.
Saiba mais em Introduction to Azure Security Benchmark.
Microsoft Sentinel sincronização opcional de alerta bidirecional do conector lançada para GA (disponibilidade geral)
Em julho, anunciamos um recurso de visualização, sincronização de alertas debidirecional, para o conector interno em Microsoft Sentinel (solução SIEM e SOAR nativa de nuvem do Microsoft). Esse recurso agora foi lançado para GA (disponibilidade geral).
Quando você conecta Microsoft Defender para Nuvem a Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta é fechado em Defender para Nuvem, esse alerta também será exibido como fechado em Microsoft Sentinel. Alterar o status de um alerta em Defender para Nuvem não afetará o status de nenhum Microsoft Sentinel incidents que contenham o alerta de Microsoft Sentinel sincronizado, somente o do próprio alerta sincronizado.
Ao habilitar a sincronização de alertas bi-directional você sincronizará automaticamente o status dos alertas de Defender para Nuvem originais com incidentes Microsoft Sentinel que contêm as cópias desses alertas. Portanto, por exemplo, quando um incidente de Microsoft Sentinel que contém um alerta de Defender para Nuvem for fechado, Defender para Nuvem fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas Azure Defender de Central de Segurança do Azure e alertas Stream para Microsoft Sentinel.
Nova recomendação para enviar por push os logs de AKS (Serviço de Kubernetes do Azure) para Microsoft Sentinel
Em um aprimoramento adicional para o valor combinado de Defender para Nuvem e Microsoft Sentinel, agora destacaremos Serviço de Kubernetes do Azure instâncias que não estão enviando dados de log para Microsoft Sentinel.
As equipes do SecOps podem escolher o workspace de Microsoft Sentinel relevante diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir a cobertura de log completa nas respectivas cargas de trabalho para se manterem no controle de todo o ambiente delas.
A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados", inclui a opção "Corrigir" para correção mais rápida.
Também aprimoramos a recomendação "Auditoria no SQL Server deve ser habilitada" com os mesmos recursos de streaming Microsoft Sentinel.
Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)
Aprimoramos as recomendações de segurança da Defender para Nuvem para mostrar sua posição no MITRE ATT& Estrutura CK®. Essa base de dados de conhecimento globalmente acessível das táticas e técnicas dos atores de ameaças com base em observações do mundo real fornece mais contexto para ajudar você a entender os riscos associados das recomendações para o seu ambiente.
Você pode encontrar essas táticas sempre que acessar as informações de recomendação:
Azure Resource Graph resultados da consulta para recomendações relevantes incluem o MITRE ATT& Táticas e técnicas de CK®.As páginas de detalhes da recomendação mostram o mapeamento de todas as recomendações relevantes:
A página de recomendações no Defender para Nuvem tem um novo filtro
para selecionar recomendações de acordo com sua tática associada:
Saiba mais em Examinar as suas recomendações de segurança.
Microsoft Gerenciamento de Ameaças e Vulnerabilidades adicionados como solução de avaliação de vulnerabilidade – lançada para GA (disponibilidade geral)
Em outubro, nós anunciamos uma extensão para a integração entre Microsoft Defender para Servidores e Microsoft Defender para Ponto de Extremidade, para dar suporte a um novo provedor de avaliação de vulnerabilidades para seus computadores: Microsoft gerenciamento de ameaças e vulnerabilidades. Esse recurso agora foi lançado para GA (disponibilidade geral).
Use threat e gerenciamento de vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integration com Microsoft Defender para Ponto de Extremidade habilitado e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.
Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).
Saiba mais em pontos fracos Configurar pontos fracos com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade.
Microsoft Defender para Ponto de Extremidade para Linux agora com suporte do Microsoft Defender para Servidores – liberado para GA (disponibilidade geral)
Em agosto, não anunciamos suporte de visualização para implantar o sensor Defender para Ponto de Extremidade para Linux para computadores Linux compatíveis. Esse recurso agora foi lançado para GA (disponibilidade geral).
Microsoft Defender for Servers inclui uma licença integrada para Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).
Quando Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado em Defender para Nuvem. De Defender para Nuvem, você também pode dinamizar para o Defender para o console do Ponto de Extremidade e executar uma investigação detalhada para descobrir o escopo do ataque.
Saiba mais em Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)
Defender para Nuvem gera alertas e recomendações de segurança detalhados. Você pode exibi-los no portal ou por meio de ferramentas programáticas. Talvez você também precise exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
O recurso continuous export do Defender para Nuvem permite personalizar totalmente what será exportado e where ele será exportado. Saiba mais em A exportar continuamente Microsoft Defender para Nuvem dados.
Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados à classificação de segurança e aos dados de conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.
Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para disponibilidade geral (GA)
Em outubro, nós anunciamos a adição de soluções de avaliação de vulnerabilidade à página de provisionamento automático do Defender para Nuvem. Isso é relevante para Azure máquinas virtuais e máquinas Azure Arc em assinaturas protegidas por Azure Defender para Servidores. Esse recurso agora foi lançado para GA (disponibilidade geral).
Se o integration com Microsoft Defender para Ponto de Extremidade estiver habilitado, Defender para Nuvem apresentará uma opção de soluções de avaliação de vulnerabilidade:
- (NEW) O módulo Microsoft gerenciamento de ameaças e vulnerabilidades de Microsoft Defender para Ponto de Extremidade (consulte a nota de versão)
- O agente Qualys integrado
Sua solução escolhida será habilitada automaticamente em computadores com suporte.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.
Filtros de inventário de software no inventário de ativos lançados em GA (disponibilidade geral)
Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar computadores que executam software específico e até especificar as versões de interesse. Esse recurso agora foi lançado para GA (disponibilidade geral).
Você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses recursos, você precisará habilitar o integration com Microsoft Defender para Ponto de Extremidade.
Para obter detalhes completos, incluindo consultas kusto de exemplo para Azure Resource Graph, consulte Access um inventário de software.
Nova política de segurança do AKS adicionada à iniciativa padrão
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, Defender para Nuvem inclui políticas de nível do Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para a implantação em clusters do Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a versão prévia relacionada.
Você pode ignorar com segurança as políticas e a recomendação ("os clusters do Kubernetes devem proteger a implantação de imagens vulneráveis") e não haverá impacto sobre seu ambiente.
Se você quiser participar da versão prévia, precisará ser membro do anel de visualização. Se você ainda não for um membro, envie uma solicitação aqui. Os membros serão notificados quando a versão prévia for iniciada.
A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso
Para melhorar a apresentação de recursos no inventário de ativos, removemos o elemento "source-computer-IP" do modelo para nomear computadores locais.
-
Formato anterior:
machine-name_source-computer-id_VMUUID -
A partir desta atualização:
machine-name_VMUUID
Outubro de 2021
As atualizações de outubro incluem:
- Microsoft Gerenciamento de Ameaças e Vulnerabilidades adicionados como solução de avaliação de vulnerabilidade (em versão prévia)
- As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)
- Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)
- Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"
- Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes
- As páginas de detalhes das recomendações agora mostram as recomendações relacionadas
- Novos alertas para Azure Defender para Kubernetes (em versão prévia)
Microsoft Gerenciamento de Ameaças e Vulnerabilidades adicionados como solução de avaliação de vulnerabilidade (em versão prévia)
Estendemos a integração entre Azure Defender para Servidores e Microsoft Defender para Ponto de Extremidade, para dar suporte a um novo provedor de avaliação de vulnerabilidades para seus computadores: Microsoft gerenciamento de ameaças e vulnerabilidades.
Use threat e gerenciamento de vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integration com Microsoft Defender para Ponto de Extremidade habilitado e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.
Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).
Saiba mais em pontos fracos Configurar pontos fracos com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade.
As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)
A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para Azure máquinas virtuais e máquinas Azure Arc em assinaturas protegidas por Azure Defender para Servidores.
Se o integration com Microsoft Defender para Ponto de Extremidade estiver habilitado, Defender para Nuvem apresentará uma opção de soluções de avaliação de vulnerabilidade:
- (NEW) O módulo Microsoft gerenciamento de ameaças e vulnerabilidades de Microsoft Defender para Ponto de Extremidade (consulte a nota de versão)
- O agente Qualys integrado
Sua solução escolhida será habilitada automaticamente em computadores com suporte.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.
Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)
A página de inventário de ativos agora inclui um filtro para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse.
Além disso, você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses novos recursos, você precisará habilitar a integration com Microsoft Defender para Ponto de Extremidade.
Para obter detalhes completos, incluindo consultas kusto de exemplo para Azure Resource Graph, consulte Access um inventário de software.
Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"
Em julho de 2021, anunciamos uma reorganização logical de Azure Defender para alertas Resource Manager
Durante a reorganização de planos de Defender, movemos alertas de Azure Defender para Resource Manager para Azure Defender para Servidores.
Com essa atualização, mudamos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na seguinte tabela:
| Nome original | A partir dessa alteração |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Saiba mais sobre o Azure Defender para planos Resource Manager e Azure Defender para Servidores.
Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes
A recomendação "Os clusters do Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nessa recomendação foram removidos: ConfigMap e Segredo.
Saiba mais sobre essa recomendação e proteção dos clusters do Kubernetes em Understand Azure Policy para clusters kubernetes.
As páginas de detalhes das recomendações agora mostram as recomendações relacionadas
Para esclarecer as relações entre recomendações diferentes, adicionamos uma área de recomendações relacionadas às páginas de detalhes de muitas recomendações.
Os três tipos de relação mostrados nessas páginas são:
- Pré-requisito – Uma recomendação que precisa ser concluída antes da recomendação selecionada
- Alternativa – uma recomendação diferente que fornece outra maneira de alcançar as metas da recomendação selecionada
- Dependente – uma recomendação para a qual a recomendação selecionada é um pré-requisito
Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".
Tip
Se uma recomendação relacionada estiver em cinza, a respectiva dependência ainda não estará concluída e, portanto, não estará disponível.
Um exemplo de recomendações relacionadas:
A Central de Segurança verifica se há soluções de avaliação de vulnerabilidades com suporte nos seus computadores:
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuaisSe uma solução for encontrada, você receberá uma notificação sobre as vulnerabilidades descobertas:
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Obviamente, a Central de Segurança não poderá enviar notificações sobre as vulnerabilidades descobertas se não encontrar uma solução de avaliação de vulnerabilidades com suporte.
Therefore:
- A recomendação nº 1 é um pré-requisito da recomendação nº 2
- A recomendação nº 2 depende da recomendação nº 1
Novos alertas para Azure Defender para Kubernetes (em versão prévia)
Para expandir as proteções contra ameaças fornecidas por Azure Defender para o Kubernetes, adicionamos dois alertas de visualização.
Esses alertas são gerados com base em um novo modelo de machine learning e análise avançada do Kubernetes, medindo vários atributos de implantação e atribuição de função em relação a atividades anteriores no cluster e em todos os clusters monitorados por Azure Defender.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Implantação de pod anormal (versão prévia) (K8S_AnomalousPodDeployment) |
A análise de log de auditoria do Kubernetes detectou uma implantação de pod anômala com base na atividade de implantação anterior. Essa atividade é considerada anômala ao examinar como os diferentes recursos na operação de implantação se relacionam entre si. Os recursos monitorados incluem o registro de imagem de contêiner usado, a conta de implantação, o dia da semana, a frequência de implantação dessa conta, o agente de usuário usado, os padrões de implantação do namespace e outras características. As propriedades estendidas do alerta detalham os principais motivos que contribuem para identificar isso como atividade anômala. | Execution | Medium |
|
Permissões de função excessivas atribuídas no cluster do Kubernetes (versão prévia) (K8S_ServiceAcountPermissionAnomaly) |
A análise dos logs de auditoria do Kubernetes detectou uma atribuição de função de permissões excessivas ao cluster. Ao examinar as atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa detecção considera as atribuições de função anteriores para a mesma conta de serviço entre clusters monitorados por Azure, volume por permissão e o impacto da permissão específica. O modelo de detecção de anomalias usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados por Azure Defender. | Escalonamento de privilégios | Low |
Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.
Setembro de 2021
Em setembro, a seguinte atualização foi lançada:
Duas novas recomendações para auditar as configurações do sistema operacional para Azure conformidade de linha de base de segurança (em versão prévia)
As duas recomendações a seguir foram lançadas para avaliar a conformidade dos computadores com a linha de base de segurança Windows e a linha de base de segurança Linux:
- Para computadores Windows, Vulnerabilities na configuração de segurança em seus computadores Windows devem ser corrigidos (alimentados pela Configuração de Convidado)
- Para computadores com Linux,É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)
Essas recomendações usam o recurso de configuração de convidado de Azure Policy para comparar a configuração do sistema operacional de um computador com a linha de base definida no Azure Security Benchmark.
Saiba mais sobre como usar essas recomendações em Proteger a configuração do sistema operacional de um computador usando a configuração de convidado.
Agosto de 2021
As atualizações de agosto incluem:
- Microsoft Defender para Ponto de Extremidade para Linux agora com suporte do Azure Defender para Servidores (em versão prévia)
- Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)
- Solução de problemas e diretrizes internas para resolver problemas comuns
- Relatórios de auditoria de Azure de conformidaderegulatório liberados para GA (disponibilidade geral)
- recomendação Deprecated 'Log Analytics problemas de integridade do agente devem ser resolvidos em seus computadores'
- Azure Defender para registros de contêiner agora verifica se há vulnerabilidades em registros protegidos com Link Privado do Azure
- Security Center agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)
- As recomendações agora dão suporte a "Aplicar".
- Exportações de CSV de dados de recomendação agora limitadas a 20 MB
- A página de recomendações agora inclui várias exibições
Microsoft Defender para Ponto de Extremidade para Linux agora com suporte do Azure Defender para Servidores (em versão prévia)
Azure Defender for Servers inclui uma licença integrada para Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).
Quando Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado na Central de Segurança. Na Central de Segurança, você também pode dinamizar para o Defender para o console do Ponto de Extremidade e executar uma investigação detalhada para descobrir o escopo do ataque.
Durante o período de visualização, você implantará o sensor Defender for Endpoint for Linux em computadores Linux compatíveis de uma das duas maneiras, dependendo se você já o implantou em seus computadores Windows:
- Existing de usuários com os recursos de segurança aprimorados do Defender para Nuvem habilitados e Microsoft Defender para Ponto de Extremidade para Windows
- Novos usuários que nunca habilitaram a integração com Microsoft Defender para Ponto de Extremidade para Windows
Saiba mais em Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)
Adicionamos duas recomendações de visualização para implantar e manter as soluções de proteção de ponto de extremidade em seus computadores. Ambas as recomendações incluem suporte para máquinas virtuais Azure e máquinas conectadas a servidores habilitados para Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| O Endpoint Protection deve ser instalado nos computadores | Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte.
Saiba mais sobre como a Endpoint Protection para os computadores é avaliada. (Política relacionada: Monitor ausente do Endpoint Protection em Central de Segurança do Azure) |
High |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. Central de Segurança do Azure soluções de proteção de ponto de extremidade com suporte estão documentadas a. A avaliação de proteção do ponto de extremidade está documentada aqui. (Política relacionada: Monitor ausente do Endpoint Protection em Central de Segurança do Azure) |
Medium |
Note
As recomendações mostram o intervalo de atualização como 8 horas, mas há alguns cenários em que isso pode levar muito mais tempo. Por exemplo, quando um computador local é excluído, leva 24 horas para a Central de Segurança identificar a exclusão. Depois disso, a avaliação levará até oito horas para retornar as informações. Nessa situação específica, portanto, pode levar 32 horas para que a máquina seja removida da lista de recursos afetados.
Solução de problemas e diretrizes internas para solucionar problemas comuns
Uma nova área dedicada das páginas da Central de Segurança no portal Azure fornece um conjunto cada vez maior de materiais de autoajuda para resolver desafios comuns com a Central de Segurança e Azure Defender.
Quando você estiver enfrentando um problema ou estiver buscando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudar a encontrar a solução:
Relatórios de auditoria de Azure do painel de conformidade regulatória liberados para GA (disponibilidade geral)
A barra de ferramentas do painel de conformidade regulatória oferece relatórios de certificação Azure e Dynamics para os padrões aplicados às suas assinaturas.
Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.
Para obter mais informações, confira Gerar certificados e relatórios de status de conformidade.
Recomendação preterida 'Log Analytics problemas de integridade do agente devem ser resolvidos em seus computadores'
Descobrimos que a recomendação Log Analytics problemas de integridade do agente devem ser resolvidos em seus computadores afeta pontuações seguras de maneiras inconsistentes com o foco do CSPM (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o GPSN está relacionado à identificação de configurações incorretas de segurança. Os problemas de integridade do agente não se encaixam nessa categoria de problemas.
Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados à Central de Segurança: esse é o único agente com uma recomendação relacionada a problemas de integridade.
A recomendação foi preterida.
Como resultado dessa substituição, também fizemos pequenas alterações nas recomendações para instalar o agente Log Analytics (Log Analytics agente deve ser instalado em... ).
Provavelmente essa alteração afetará suas classificações de segurança. Para a maioria das assinaturas, a expectativa é que a alteração leve a uma classificação maior, mas é possível que as atualizações da recomendação de instalação possam resultar em redução da classificação, em alguns casos.
Tip
A página de inventário de ativos também foi afetada por essa alteração, pois exibe o status monitorado para computadores (monitorado, não monitorado ou parcialmente monitorado – um estado que se refere a um agente com problemas de integridade).
Azure Defender para registros de contêiner agora verifica vulnerabilidades em registros protegidos com Link Privado do Azure
Azure Defender para registros de contêiner inclui um verificador de vulnerabilidades para verificar imagens em seus registros de Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir as descobertas em Use Azure Defender registros de contêiner para verificar as imagens em busca de vulnerabilidades.
Para limitar o acesso a um registro hospedado em Registro de Contêiner do Azure, atribua endereços IP privados de rede virtual aos pontos de extremidade do Registro e use Link Privado do Azure conforme explicado em Conectar privadamente a um Azure container registry usando Link Privado do Azure.
Como parte de nossos esforços contínuos para dar suporte a ambientes adicionais e casos de uso, Azure Defender agora também verifica os registros de contêiner protegidos com Link Privado do Azure.
A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)
Azure Policy pode auditar as configurações dentro de um computador, tanto para computadores em execução em computadores conectados Azure quanto arc. A validação é executada pela extensão e pelo cliente de Configuração de Convidado. Saiba mais em Conseque a Configuração de Convidado do Azure Policy.
Com esta atualização, agora você pode configurar a Central de Segurança para provisionar automaticamente essa extensão para todos os computadores com suporte.
Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.
As recomendações agora dão suporte a "Impor"
A Central de Segurança inclui dois recursos que ajudam a garantir que os recursos recém-criados sejam provisionados de maneira segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:
- Negar impede que recursos não íntegros sejam criados
- Impor correções automáticas de recursos não compatíveis quando eles são criados
Com essa atualização, a opção impor agora está disponível nas recomendações para habilitar planos de Azure Defender (como Azure Defender para o Serviço de Aplicativo devem ser habilitados, Azure Defender para Key Vault deve ser habilitado, Azure Defender para Armazenamento deve estar habilitado).
Saiba mais sobre essas opções em Impedir configurações incorretas com as recomendações de Impor/Negar.
Exportações de CSV de dados de recomendação agora limitadas a 20 MB
Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.
Se for necessário exportar grandes quantidades de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.
Saiba mais sobre como executar uma exportação CSV das recomendações de segurança.
A página de recomendações agora inclui várias exibições
A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:
- Recomendações de classificação de segurança – Use essa guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
- Todas as recomendações – use essa guia para exibir a lista de recomendações como uma lista simples. Essa guia também é excelente para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com as recomendações em O que são políticas de segurança, iniciativas e recomendações?
Julho de 2021
As atualizações de julho incluem:
- Microsoft Sentinel conector agora inclui sincronização opcional de alerta bidirecional (em versão prévia)
- Ordenação lógica de Azure Defender para alertas Resource Manager
- Enhancements para recomendação para habilitar Azure Disk Encryption (ADE)
- Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)
- As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)
- Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos
- 'Conformidade ao longo do tempo' modelo de pasta de trabalho adicionado à galeria de pastas de trabalho Azure Monitor
Microsoft Sentinel conector agora inclui sincronização opcional de alerta bidirecional (em versão prévia)
A Central de Segurança integra-se nativamente com Microsoft Sentinel, a solução SIEM e SOAR nativa de nuvem da Azure.
Microsoft Sentinel inclui conectores internos para Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em alertas Stream para Microsoft Sentinel.
Quando você conecta Azure Defender a Microsoft Sentinel, o status dos alertas de Azure Defender que são ingeridos em Microsoft Sentinel é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta é fechado em Azure Defender, esse alerta também será exibido como fechado em Microsoft Sentinel. Alterar o status de um alerta no Azure Defender "não afetará"* o status de qualquer Microsoft Sentinel incidents que contenham o alerta de Microsoft Sentinel sincronizado, somente o do próprio alerta sincronizado.
Quando você habilita o recurso de visualização sincronização de alertas debidirecional, ele sincroniza automaticamente o status dos alertas de Azure Defender originais com incidentes Microsoft Sentinel que contêm cópias desses alertas Azure Defender. Portanto, por exemplo, quando um incidente de Microsoft Sentinel que contém um alerta Azure Defender for fechado, Azure Defender fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas Azure Defender de Central de Segurança do Azure.
Reorganização lógica de Azure Defender para alertas de Resource Manager
Os alertas listados abaixo foram fornecidos como parte do Azure Defender para Resource Manager plano.
Como parte de uma reorganização lógica de alguns dos planos de Azure Defender, movemos alguns alertas de Azure Defender para Resource Manager para Azure Defender para Servidores.
Os alertas são organizados de acordo com dois princípios essenciais:
- Alertas que fornecem proteção do plano de controle - em muitos tipos de recursos Azure - fazem parte de Azure Defender para Resource Manager
- Os alertas que protegem cargas de trabalho específicas estão no plano Azure Defender relacionado à carga de trabalho correspondente
Esses são os alertas que faziam parte de Azure Defender para Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender para Servidores:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Saiba mais sobre o Azure Defender para planos Resource Manager e Azure Defender para Servidores.
Aprimoramentos na recomendação para habilitar Azure Disk Encryption (ADE)
Após os comentários de usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.
A nova recomendação usa a mesma ID de avaliação e é chamada Máquinas virtuais devem criptografar fluxos de dados, caches e discos temporários entre recursos de Computação e de Armazenamento.
A descrição também foi atualizada para explicar melhor a finalidade dessa recomendação de proteção:
| Recommendation | Description | Severity |
|---|---|---|
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e de Armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Para obter mais informações, consulte o comparison de diferentes tecnologias de criptografia de disco em Azure. Use Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se: (1) você estiver usando o recurso de criptografia no host ou (2) criptografia do lado do servidor em Managed Disks atender aos seus requisitos de segurança. Saiba mais na criptografia do lado do servidor de Armazenamento em Disco do Azure. |
High |
Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)
A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
Ao configurar a sua exportação contínua, você configura quais itens serão exportados e para onde eles vão. Saiba mais na visão geral de exportação contínua.
Aprimoramos e expandimos esse recurso ao longo do tempo:
Em novembro de 2020, adicionamos a opção de visualização para transmitir alterações à sua pontuação de segurança.
Em dezembro de 2020, adicionamos a opção de visualização para transmitir alterações aos seus dados de avaliação de conformidade regulatória.
Com esta atualização, essas duas opções são liberadas para GA (disponibilidade geral).
As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)
Em fevereiro de 2021, adicionamos um terceiro tipo de dados de visualização às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória. Saiba mais em As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória.
Com esta atualização, essa opção de gatilho é liberada para GA (disponibilidade geral).
Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.
Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos
Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, confira API de Avaliações expandida com dois novos campos.
Esses campos eram acessíveis por meio da API REST, Azure Resource Graph, exportação contínua e nas exportações de CSV.
Com essa alteração, estamos disponibilizando as informações no esquema de workspace Log Analytics e em aplicativos lógicos.
Modelo de pasta de trabalho 'Conformidade ao longo do tempo' adicionado à galeria de pastas de trabalho Azure Monitor
Em março, anunciamos a experiência integrada de pastas de trabalho Azure Monitor na Central de Segurança (consulte Azure Monitor Pastas de Trabalho integradas à Central de Segurança e três modelos fornecidos).
A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.
Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.
Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.
Junho de 2021
As atualizações de junho incluem:
- De novo alerta para Azure Defender para Key Vault
- Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão
- O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"
- Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"
Novo alerta para Azure Defender para Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Key Vault, adicionamos o seguinte alerta:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
| Acesso de um endereço IP suspeito para um cofre de chaves (KV_SuspiciousIPAccess) |
Um cofre de chaves foi acessado com êxito por um IP que foi identificado por Microsoft Inteligência contra Ameaças como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. | Acesso à credencial | Medium |
Para obter mais informações, consulte:
- Introduction para Azure Defender para Key Vault
- Respond para Azure Defender para alertas de Key Vault
- List de alertas fornecidos pelo Azure Defender para Key Vault
Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão
A Central de Segurança inclui várias recomendações para criptografar dados inativos com chaves gerenciadas pelo cliente, como por exemplo:
- Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- Azure Machine Learning workspaces devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
Os dados em Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando necessário para conformidade com uma política específica que sua organização está optando por impor.
Com essa alteração, as recomendações para usar CMKs agora estão desabilitadas por padrão. Quando relevante para sua organização, você pode habilitá-los alterando o parâmetro Efeito da política de segurança correspondente para AuditIfNotExists ou Enforce. Saiba mais em Habilitar uma recomendação de segurança.
Essa alteração é refletida nos nomes da recomendação com um novo prefixo [Habilitar se necessário] , conforme mostrado nos exemplos a seguir:
- [Habilitar se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados inativos
- [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- [Habilitar se necessário] Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"
Azure Defender do Kubernetes recentemente expandido para proteger clusters do Kubernetes hospedados localmente e em ambientes multinuvem. Saiba mais em Use Azure Defender do Kubernetes para proteger implantações de Kubernetes híbridas e multinuvem (em versão prévia).
Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender para Kubernetes não estão mais restritos a clusters em Serviço de Kubernetes do Azure, alteramos o prefixo dos tipos de alerta de "AKS_" para "K8S_". Quando necessário, os nomes e descrições também foram atualizados. Por exemplo, este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detectada (AKS_PenTestToolsKubeHunter) |
A análise de log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados. |
Alterado para este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detectada (K8S_PenTestToolsKubeHunter) |
A análise de log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados. |
As regras de supressão que se referem aos alertas que começam com "AKS_" foram convertidas automaticamente. Se você configurou exportações do SIEM ou scripts de automação personalizados que se referem aos alertas do Kubernetes por tipo de alerta, precisará atualizá-los com os novos tipos de alertas.
Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.
Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"
As duas recomendações abaixo foram preteridas:
- OS devem ser atualizados para suas funções de serviço de nuvem – por padrão, Azure atualiza periodicamente o sistema operacional convidado para a imagem mais recente com suporte na família do sistema operacional especificada em sua configuração de serviço (.cscfg), como Windows Server 2016.
- Os Serviços de Kubernetes deverão ser atualizados para uma versão do Kubernetes não vulnerável – Esta avaliação da recomendação não é tão abrangente quanto gostaríamos. Planejamos substituir a recomendação por uma versão aprimorada mais alinhada às suas necessidades de segurança.
Maio de 2021
As atualizações de maio incluem:
- Azure Defender para DNS e Azure Defender para Resource Manager liberados para ga (disponibilidade geral)
- Azure Defender para bancos de dados relacionais de software livre liberados para GA (disponibilidade geral)
- Novos alertas para Azure Defender para Resource Manager
- C/CD verificação de vulnerabilidade de imagens de contêiner com fluxos de trabalho GitHub e Azure Defender (versão prévia)
- Mais consultas do Resource Graph disponíveis para algumas recomendações
- Alterada a severidade da recomendação de classificação de dados SQL
- Novas recomendações para habilitar recursos de início confiável (em versão prévia)
- Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)
- API de avaliações expandida com dois novos campos
- O inventário de ativos obtém um filtro de ambiente de nuvem
Azure Defender para DNS e Azure Defender para Resource Manager liberados para GA (disponibilidade geral)
Esses dois planos de proteção contra ameaças de amplitude nativa de nuvem agora são GA.
Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaça e aumentam significativamente o número de recursos de Azure protegidos por Azure Defender.
Azure Defender para Resource Manager – monitora automaticamente todas as operações de gerenciamento de recursos executadas em sua organização. Para obter mais informações, consulte:
Azure Defender para DNS – monitora continuamente todas as consultas DNS de seus recursos de Azure. Para obter mais informações, consulte:
Para simplificar o processo de habilitação desses planos, use as recomendações:
- Azure Defender para Resource Manager devem ser habilitados
- Azure Defender para DNS devem estar habilitados
Note
Habilitar planos de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Azure Defender para bancos de dados relacionais de software livre liberados para GA (disponibilidade geral)
Central de Segurança do Azure expande sua oferta de proteção SQL com um novo pacote para cobrir seus bancos de dados relacionais de software livre:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos de Azure
- Azure Defender para servidores SQL em computadores - estende as mesmas proteções aos servidores SQL em ambientes híbridos, multinuvem e locais
- Azure Defender para bancos de dados relacionais de software livre - defende seus bancos de dados Azure para servidores únicos MySQL, PostgreSQL e MariaDB
Azure Defender para bancos de dados relacionais de software livre monitora constantemente seus servidores em busca de ameaças à segurança e detecta atividades anômalas de banco de dados que indicam possíveis ameaças a Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:
- Detecção granular de ataques de força bruta - Azure Defender para bancos de dados relacionais de software livre fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e atue tendo uma compreensão mais ampla da natureza e do status do ataque em seu ambiente.
- Detecção de alertasbehavioral - Azure Defender para bancos de dados relacionais de software livre alerta para comportamentos suspeitos e inesperados em seus servidores, como alterações no padrão de acesso ao banco de dados.
- Detecção baseada em inteligênciathreat - Azure Defender aplica a inteligência contra ameaças do Microsoft e a vasta base de dados de conhecimento para exibir alertas de ameaças para que você possa agir contra eles.
Saiba mais em Introduction para Azure Defender para bancos de dados relacionais de software livre.
Novos alertas para Azure Defender para Resource Manager
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Resource Manager, adicionamos os seguintes alertas:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Permissões concedidas para uma função RBAC de maneira incomum para seu ambiente de Azure (versão prévia) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender para Resource Manager detectou uma atribuição de função RBAC que é incomum quando comparada com outras atribuições executadas pelo mesmo atribuídor/executadas para o mesmo atribuído/em seu locatário devido às seguintes anomalias: tempo de atribuição, local do atribuídor, atribuídor, método de autenticação, entidades atribuídas, software cliente usado, extensão de atribuição. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando conceder permissões a uma outra conta de usuário. | Movimento lateral, Evasão de defesa | Medium |
|
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção. | Movimento lateral, Evasão de defesa | Low |
| operação Azure Resource Manager de endereço IP suspeito (versão prévia) (ARM_OperationFromSuspiciousIP) |
Azure Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência contra ameaças. | Execution | Medium |
|
Azure Resource Manager operação de endereço IP de proxy suspeito (versão prévia) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP associado a serviços proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. | Evasão de defesa | Medium |
Para obter mais informações, consulte:
- Introduction para Azure Defender para Resource Manager
- Respond Azure Defender para alertas Resource Manager
- List de alertas fornecidos pelo Azure Defender para Resource Manager
Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho GitHub e Azure Defender (versão prévia)
Azure Defender para registros de contêiner agora fornece a observabilidade das equipes de DevSecOps em fluxos de trabalho GitHub Actions.
O novo recurso de verificação de vulnerabilidade para imagens de contêiner, utilizando o Trivy, ajuda você a verificar vulnerabilidades comuns em suas imagens de contêiner antes de enviar imagens por push para registros de contêiner.
Os relatórios de verificação de contêiner são resumidos em Central de Segurança do Azure, fornecendo às equipes de segurança uma melhor visão e compreensão sobre a fonte de imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde se originam.
Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho CI/CD.
Mais consultas do Resource Graph disponíveis para algumas recomendações
Todas as recomendações da Central de Segurança têm a opção de exibir as informações sobre o status dos recursos afetados usando Azure Resource Graph da consulta Open. Para obter detalhes completos sobre esse recurso poderoso, consulte Review dados de recomendação no Azure Resource Graph Explorer.
A Central de Segurança inclui verificadores de vulnerabilidades internos para examinar as VMs, servidores SQL e seus hosts e registros de contêiner contra vulnerabilidades de segurança. As conclusões são retornadas como recomendações mostradas uma única exibição, com todas as descobertas individuais de cada tipo de recurso coletado. As recomendações são:
- Vulnerabilidades em imagens de Registro de Contêiner do Azure devem ser corrigidas (alimentadas pelo Qualys)
- As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas
Com essa alteração, você pode usar o botão Abrir consulta para também abrir a consulta mostrando as descobertas de segurança.
O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.
Saiba mais sobre os verificadores de vulnerabilidades da Central de Segurança:
- Azure Defender o verificador de vulnerabilidades do Qualys integrado para computadores Azure e híbridos
- Azure Defender scanner de avaliação de vulnerabilidade integrada para servidores SQL
- Azure Defender scanner de avaliação de vulnerabilidade integrada para registros de contêiner
Alterada a severidade da recomendação de classificação de dados SQL
A severidade da recomendação Os dados confidenciais nos bancos de dado SQL devem ser confidenciais foi alterada de Alta para Baixa.
Isso faz parte de uma mudança em curso para essa recomendação, anunciada em nossa página de alterações futuras.
Novas recomendações para habilitar recursos de início confiável (em versão prévia)
Azure oferece o lançamento confiável como uma maneira perfeita de melhorar a segurança das VMs generation 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas. Saiba mais na inicialização Trusted para máquinas virtuais Azure.
Important
O início confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
O início confiável está atualmente em visualização pública. Essa versão prévia é fornecida sem um Contrato de Nível de Serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.
A recomendação da Central de Segurança, vTPM deve ser habilitada em máquinas virtuais com suporte, garante que suas VMs Azure estejam usando um vTPM. Essa versão virtualizada de um Módulo de plataforma confiável de hardware habilita o atestado medindo toda a cadeia de inicialização da VM (UEFI, SO, sistema e drivers).
Com o vTPM habilitado, a extensão de Atestado de convidado pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:
- Secure Boot deve ser habilitada em máquinas virtuais de Windows com suporte
- A extensão atestadoguest deve ser instalada em máquinas virtuais Windows com suporte
- A extensão
Guest Atestado deve ser instalada no Windows Conjuntos de Dimensionamento de Máquinas Virtuais - A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux
- A extensão
Guest Atestado deve ser instalada no Linux Conjuntos de Dimensionamento de Máquinas Virtuais
Saiba mais na inicialização Trusted para máquinas virtuais Azure.
Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)
As recomendações a seguir permitem que você proteja ainda mais os clusters Kubernetes
- Os clusters Kubernetes não devem usar o namespace padrão – evite o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado de tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount.
- Os clusters Kubernetes devem desabilitar a montagem automática de credenciais de API – para impedir que um recurso Pod possivelmente comprometido execute comandos de API em clusters Kubernetes, desabilite as credenciais da API de montagem automática.
- Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Saiba como a Central de Segurança pode proteger seus ambientes em contêineres em Segurança de contêiner na Central de Segurança.
API de avaliações expandida com dois novos campos
Adicionamos os dois campos a seguir à API REST de avaliações:
- FirstEvaluationDate – A hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
- StatusChangeDate – A hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.
O valor padrão inicial para esses campos - para todas as recomendações – é 2021-03-14T00:00:00+0000000Z.
Para acessar essas informações, use qualquer um dos métodos na tabela a seguir.
| Tool | Details |
|---|---|
| Chamada da API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Exportação contínua | Os dois campos dedicados estarão disponíveis nos dados do workspace Log Analytics |
| Exportação de CSV | Os dois campos foram incluídos nos arquivos CSV |
Saiba mais sobre a API REST de avaliações.
O inventário de ativos obtém um filtro de ambiente de nuvem
A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.
Um novo filtro oferece a opção de refinar a lista de acordo com as contas de nuvem que você conectou ao recurso multinuvem da Central de Segurança.
Saiba mais sobre as funcionalidades de várias nuvens:
- Conecte suas contas do AWS para Central de Segurança do Azure
- Conecte seus projetos GCP para Central de Segurança do Azure
Abril de 2021
As atualizações de abril incluem:
- Página de integridade de recursos atualizada (em versão prévia)
- As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para GA (disponibilidade geral))
- Use Azure Defender do Kubernetes para proteger implantações híbridas e multinuvem do Kubernetes (em versão prévia)
- Microsoft Defender para Ponto de Extremidade integração com Azure Defender agora dá suporte a Windows Server 2019 e Windows 10 na Área de Trabalho Virtual Windows lançada para GA (disponibilidade geral)
- Recomandos para habilitar Azure Defender para DNS e Resource Manager (em versão prévia)
- os padrões de conformidade regulatória Three foram adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia
- Quatro recomendações novas relacionadas à configuração de convidado (versão prévia)
- As recomendações do CMK foram movidas para o controle de segurança de melhores práticas
- Eleven Azure Defender alertas preteridos
- Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
- Azure Defender para SQL no bloco do computador removido do painel Azure Defender
- As recomendações foram movidas entre controles de segurança
Página de integridade de recursos atualizada (em versão prévia)
A integridade dos recursos foi expandida, aprimorada e melhorada para fornecer uma visão instantânea da integridade geral de um único recurso.
Examine informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançados de Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.
Para abrir a página de integridade de recursos, selecione qualquer recurso na página de inventário de ativos.
Esta página de versão prévia nas páginas do portal da Central de Segurança mostra:
- Informações de recurso – o grupo de recursos e a assinatura ao qual ele está anexado, a localização geográfica e muito mais.
- Aplicado recurso de segurança – se Azure Defender está habilitado para o recurso.
- Conta de recomendações e alertas pendentes - o número de recomendações de segurança pendentes e alertas de Azure Defender.
- Recomendações e alertas acionáveis: duas guias listam as recomendações e os alertas que se aplicam ao recurso.
Saiba mais em Tutorial: Investigar a integridade dos seus recursos.
As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para disponibilidade geral (GA))
Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade interno. Ele examina imediatamente qualquer imagem que você envia por push para o registro e qualquer imagem extraída nos últimos 30 dias.
Novas vulnerabilidades são descobertas todos os dias. Com essa atualização, as imagens de contêiner que foram extraídas de seus registros durante os últimos 30 dias serão examinadas novamente a cada semana. Isso garante que as vulnerabilidades recém-descobertas sejam identificadas em suas imagens.
O exame é cobrado por imagem, portanto, não há nenhum custo adicional para estes exames feitos novamente.
Saiba mais sobre esse scanner em Use Azure Defender para que os registros de contêiner examinem suas imagens em busca de vulnerabilidades.
Use Azure Defender para Kubernetes para proteger implantações híbridas e multinuvem do Kubernetes (em versão prévia)
Azure Defender para Kubernetes está expandindo seus recursos de proteção contra ameaças para defender seus clusters onde quer que eles estejam implantados. Isso foi habilitado pela integração com o KubernetesAzure Arc/c0> e seus novos recursos de
Quando você habilita Azure Arc em clusters kubernetes não Azure, uma nova recomendação do Central de Segurança do Azure oferece implantar o agente Azure Defender neles com apenas alguns cliques.
Use a recomendação (clusters kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger clusters kubernetes implantados em outros provedores de nuvem, embora não em seus serviços gerenciados do Kubernetes.
Essa integração entre Central de Segurança do Azure, Azure Defender e Kubernetes habilitado para Azure Arc traz:
- Provisionamento fácil do agente de Azure Defender para clusters kubernetes habilitados para Azure Arc desprotegidos (manualmente e em escala)
- Monitoramento do agente Azure Defender e seu estado de provisionamento no Portal do Azure Arc
- As recomendações de segurança da Central de Segurança são relatadas na nova página Segurança do Portal do Azure Arc
- Ameaças de segurança identificadas de Azure Defender são relatadas na nova página Segurança do Portal do Azure Arc
- os clusters do Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência do Central de Segurança do Azure
Saiba mais em Use Azure Defender para Kubernetes com seus clusters kubernetes locais e multinuvem.
Microsoft Defender para Ponto de Extremidade integração com Azure Defender agora dá suporte a Windows Server 2019 e Windows 10 na Área de Trabalho Virtual Windows lançada para GA (disponibilidade geral)
Microsoft Defender para Ponto de Extremidade é uma solução holística de segurança de ponto de extremidade entregue na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar Defender para Ponto de Extremidade junto com Central de Segurança do Azure, consulte Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Quando você habilita Azure Defender para servidores que executam Windows Server, uma licença para Defender para Ponto de Extremidade é incluída no plano. Se você já tiver habilitado Azure Defender para Servidores e tiver Windows Server 2019 servidores em sua assinatura, eles receberão automaticamente Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.
O suporte agora foi expandido para incluir Windows Server 2019 e Windows 10 em Windows Área de Trabalho Virtual.
Note
Se você estiver habilitando Defender para Ponto de Extremidade em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Enable a integração Microsoft Defender para Ponto de Extremidade.
Recomendações para habilitar Azure Defender para DNS e Resource Manager (em versão prévia)
Duas novas recomendações foram adicionadas para simplificar o processo de habilitação do Azure Defender para Resource Manager e Azure Defender para DNS:
- Azure Defender para Resource Manager devem ser habilitados - Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas.
- Azure Defender para DNS devem ser habilitados - Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem monitorando continuamente todas as consultas DNS de seus recursos de Azure. Azure Defender alerta sobre atividades suspeitas na camada DNS.
Habilitar planos de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Tip
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em recomendações Remediate no Central de Segurança do Azure.
Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia
Adicionamos três padrões para uso com Central de Segurança do Azure. Usando o painel de conformidade regulatória, agora você pode controlar sua conformidade com:
Você pode atribuí-los a suas assinaturas, conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.
padrões 
Saiba mais em:
- Personalizar o conjunto de padrões no seu painel de conformidade regulatória
- Tutorial: Melhorar sua conformidade regulatória
- Perguntas frequentes – Painel de conformidade regulatória
Quatro recomendações novas relacionadas à configuração de convidado (versão prévia)
A extensão Guest Configuration do Azure relatórios à Central de Segurança para ajudar a garantir que as configurações de convidado de suas máquinas virtuais sejam protegidas. A extensão não é necessária para servidores habilitados para o Arc porque está incluída no agente do Computador Conectado ao Arc. A extensão requer uma identidade gerenciada pelo sistema no computador.
Adicionamos quatro novas recomendações à Central de Segurança para aproveitar ao máximo essa extensão.
Duas recomendações solicitam que você instale a extensão e a identidade obrigatória dela gerenciada pelo sistema:
- A extensão de Configuração de Convidado deve ser instalada nos seus computadores
- A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema
Quando a extensão estiver instalada e em execução, ela começará a auditar seus computadores e você será solicitado a proteger as configurações, como a configuração do sistema operacional e as configurações de ambiente. Essas duas recomendações solicitarão que você proteja seus computadores Windows e Linux, conforme descrito:
- Microsoft Defender Exploit Guard deve estar habilitado em seus computadores
- A autenticação para computadores Linux deve exigir chaves SSH
Saiba mais em Conseque a Configuração de Convidado do Azure Policy.
As recomendações do CMK foram movidas para o controle de segurança de melhores práticas
O programa de segurança de cada organização inclui os requisitos de criptografia de dados. Por padrão, Azure dados dos clientes são criptografados em repouso com chaves gerenciadas pelo serviço. Entretanto, as CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. Os CMKs permitem criptografar seus dados com uma chave Azure Key Vault criada e de propriedade de você. Isso dá a você o controle e a responsabilidade total pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Central de Segurança do Azure controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Cada controle, tem um número máximo de pontos que você poderá adicionar à sua classificação de segurança se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança para Implementar as melhores práticas de segurança vale zero pontos. Portanto, as recomendações neste controle não afetam sua classificação de segurança.
As recomendações listadas abaixo estão sendo movidas para o controle de segurança para Implementar as melhores práticas de segurança para refletir melhor sua natureza opcional. Essa transferência garantirá que estas recomendações estejam no controle mais apropriado para atender ao respectivo objetivo.
- Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- Azure Machine Learning workspaces devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- Serviços de IA do Azure contas devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
- Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
11 alertas de Azure Defender preteridos
Os onze alertas Azure Defender listados abaixo foram preteridos.
Novos alertas substituirão estes dois alertas e fornecerão uma cobertura melhor:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo VERSÃO PRÉVIA – Execução da função "Get-AzureDomainInfo" do kit de ferramentas do MicroBurst detectada ARM_MicroBurstRunbook VERSÃO PRÉVIA – Execução da função "Get-AzurePasswords" do kit de ferramentas do MicroBurst detectada Esses nove alertas estão relacionados a um conector do Microsoft Entra Identity Protection (IPC) que já foi preterido:
AlertType AlertDisplayName UnfamiliarLocation Propriedades de entrada desconhecidas AnonymousLogin Endereço IP anônimo InfectedDeviceLogin Endereço IP vinculado a malware ImpossibleTravel Viagem atípica MaliciousIP Endereço IP mal-intencionado LeakedCredentials Credenciais vazadas PasswordSpray Pulverização de senha LeakedCredentials Microsoft Entra ID inteligência contra ameaças AADAI IA do Microsoft Entra ID Tip
Esses nove alertas do IPC nunca foram alertas da Central de Segurança. Eles fazem parte do conector do Microsoft Entra Identity Protection (IPC) que os enviava para a Central de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. Microsoft Entra ID IPC continuou a mostrá-los em seus próprios sistemas de alertas e eles continuaram a estar disponíveis em Microsoft Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.
Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
As duas recomendações seguintes foram preteridas e as alterações podem resultar em um pequeno impacto na sua classificação de segurança:
- Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas
- O agente de monitoramento deve ser instalado em seus computadores. Essa recomendação se refere apenas a computadores locais e parte de sua lógica será transferida para outra recomendação, Log Analytics problemas de integridade do agente devem ser resolvidos em seus computadores
É recomendável verificar suas configurações de exportação contínua e automação de fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, painéis ou outras ferramentas de monitoramento que possam estar as usando devem ser atualizados de acordo.
Azure Defender para SQL no bloco do computador removido do painel de Azure Defender
A área de cobertura do painel de Azure Defender inclui blocos para os planos de Azure Defender relevantes para seu ambiente. Devido a um problema com o relatório dos números de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos para Azure Defender para SQL em computadores até que o problema seja resolvido.
Recomendações movidas entre controles de segurança
As recomendações a seguir foram transferidas para controles de segurança diferentes. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Essa transferência garantirá que cada uma dessas recomendações esteja no controle mais apropriado para atender ao respectivo objetivo.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
| Recommendation | Alteração e respectivo impacto |
|---|---|
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL A avaliação de vulnerabilidades deve ser habilitada nas instâncias gerenciadas do SQL As vulnerabilidades encontradas nos bancos de dados SQL deverão ser corrigidas novamente As vulnerabilidades nos seus bancos de dados SQL em VMs devem ser corrigidas |
Passando de Corrigir vulnerabilidades (vale seis pontos) para Corrigir configurações de segurança (vale quatro pontos). Essas recomendações terão um impacto reduzido em sua pontuação, dependendo do ambiente. |
| Deve haver mais de um proprietário atribuído à sua assinatura As variáveis da conta de automação devem ser criptografadas Dispositivos IoT – O processo auditado parou de enviar eventos Dispositivos IoT – Houve uma falha na validação de linha de base do sistema operacional Dispositivos IoT – É preciso atualizar o pacote de criptografia do TLS Dispositivos IoT – Abrir portas no dispositivo Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída Os logs de diagnóstico no Hub IoT devem ser habilitados Dispositivos IoT – O agente está enviando mensagens subutilizadas Dispositivos IoT – A política de filtro IP padrão deverá ser negada Dispositivos IoT – A regra de filtro IP é maior do que o intervalo de IP Dispositivos IoT – Os intervalos e o tamanho das mensagens do agente deverão ser ajustados Dispositivos IoT – As credenciais de autenticação são idênticas Dispositivos IoT – O processo auditado parou de enviar eventos Dispositivos IoT – A configuração de linha de base do SO (sistema operacional) deverá ser corrigida |
Como executar uma transferência para a opção Implementar práticas recomendadas de segurança. Ao transferir uma recomendação para a opção Implementar o controle de segurança de práticas recomendadas de segurança, que não vale pontos, a recomendação não afetará mais sua classificação de segurança. |
Março de 2021
As atualizações de março incluem:
- Firewall do Azure gerenciamento integrado à Central de Segurança
- Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)
- Azure Monitor Pastas de Trabalho integradas à Central de Segurança e três modelos fornecidos
- O painel de conformidade Regulatory agora inclui relatórios de auditoria Azure (versão prévia)
- Recomando dados podem ser exibidos em Azure Resource Graph com "Explorar no ARG"
- Atualizações das políticas para implantar a automação do fluxo de trabalho
- as recomendações herdadas Two não gravam mais dados diretamente no log de atividades Azure
- Aprimoramentos na página de recomendações
gerenciamento de Firewall do Azure integrado à Central de Segurança
Quando você abre Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.
Esse painel interativo fornece uma exibição unificada da postura de segurança das cargas de trabalho de nuvem híbrida. Além disso, ela mostra alertas de segurança, informações de cobertura, entre outros.
Como parte de ajudar você a exibir seu status de segurança de uma experiência central, integramos o Gerenciador de Firewall do Azure a este painel. Agora você pode verificar o status de cobertura do firewall em todas as redes e gerenciar centralmente as políticas de Firewall do Azure a partir da Central de Segurança.
Saiba mais sobre esse painel na página de visão geral do Central de Segurança do Azure.
painel de visão geral do 
Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)
A Central de Segurança inclui um scanner de vulnerabilidades interno para ajudar a descobrir, acompanhar e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança dos computadores SQL e detalhes sobre eventuais descobertas de segurança.
Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.
Saiba mais em Desabilitar descobertas específicas.
Azure Monitor pastas de trabalho integradas à Central de Segurança e três modelos fornecidos
Como parte do Ignite Spring 2021, anunciamos uma experiência integrada de pastas de trabalho Azure Monitor na Central de Segurança.
Você pode usar a nova integração para começar a usar os modelos prontos para uso da galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, você pode criar novas pastas de trabalho com base em dados da Central de Segurança ou em qualquer outro tipo de dados com suporte e implantar rapidamente pastas de trabalho da comunidade da comunidade GitHub comunidade da Central de Segurança.
São fornecidos três relatórios de modelos:
- Classificação de segurança ao longo do tempo – Acompanhar as pontuações das assinaturas e as alterações das recomendações para os recursos
- Atualizações do sistema – exibir atualizações de sistema ausentes por recursos, sistema operacional, severidade e muito mais
- As conclusões da Avaliação deVulnerabilidade - Exiba as descobertas de verificações de vulnerabilidade dos recursos de Azure
Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.
O painel de conformidade regulatória agora inclui relatórios de auditoria de Azure (versão prévia)
Na barra de ferramentas do painel de conformidade regulatória, agora você pode baixar Azure e Dynamics relatórios de certificação.
Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.
Saiba mais sobre Como gerenciar os padrões no painel de conformidade regulatória.
Os dados de recomendação podem ser exibidos em Azure Resource Graph com "Explorar no ARG"
As páginas de detalhes de recomendação agora incluem o botão de barra de ferramentas "Explorar no ARG". Use este botão para abrir uma consulta Azure Resource Graph e explorar, exportar e compartilhar os dados da recomendação.
Azure Resource Graph (ARG) fornece acesso instantâneo às informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações entre assinaturas Azure programaticamente ou de dentro do portal Azure.
Saiba mais sobre Azure Resource Graph.
Atualizações das políticas para implantar a automação do fluxo de trabalho
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.
Fornecemos três Azure Policy políticas 'DeployIfNotExist' que criam e configuram procedimentos de automação de fluxo de trabalho para que você possa implantar suas automações em sua organização:
| Goal | Policy | ID da Política |
|---|---|---|
| Automação de fluxo de trabalho para alertas de segurança | Deploy Workflow Automation for Central de Segurança do Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação de fluxo de trabalho para recomendações de segurança | Deploy Workflow Automation for Central de Segurança do Azure recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automação do fluxo de trabalho para alterações de conformidade regulatória | Deploy Workflow Automation for Central de Segurança do Azure regulatory compliance | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Há duas atualizações para os recursos dessas políticas:
- Quando atribuídas, elas permanecerão habilitadas por aplicação.
- Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.
Introdução aos modelos de automação de fluxo de trabalho .
Saiba mais sobre como Automatizar respostas para os gatilhos da Central de Segurança.
Duas recomendações herdadas não gravam mais dados diretamente no log de atividades Azure
A Central de Segurança passa os dados para quase todas as recomendações de segurança para Assistente do Azure, que, por sua vez, os grava no log de atividades Azure.
Para duas recomendações, os dados são gravados simultaneamente diretamente no log de atividades Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, estamos exportando os dados para Assistente do Azure como fazemos para todas as outras recomendações.
As duas recomendações herdadas são:
- Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores
- As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas
Se você estiver acessando informações dessas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, isso não estará mais disponível.
Aprimoramentos na página de recomendações
Lançamos uma versão aprimorada da lista de recomendações para apresentar mais informações em uma visão rápida.
Agora, na página, você verá:
- A pontuação máxima e a pontuação atual de cada controle de segurança.
- Ícones substituindo marcas como Correção e Visualização.
- Uma nova coluna mostrando a iniciativa Política relacionada a cada recomendação – visível quando "Agrupar por controles" é desabilitado.
Saiba mais nas recomendações Security no Central de Segurança do Azure.
Fevereiro de 2021
As atualizações de fevereiro incluem:
- A nova página de alertas de segurança no portal Azure lançado para ga (disponibilidade geral)
- Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)
- Microsoft Defender para Ponto de Extremidade integração com Azure Defender agora dá suporte a Windows Server 2019 e Windows 10 na Área de Trabalho Virtual Windows (em versão prévia)
- Link direto para a política na página de detalhes da recomendação
- A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança
- As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)
- Aprimoramentos de página de inventário de ativos
Nova página de alertas de segurança no portal do Azure lançada para GA (disponibilidade geral)
A página de alertas de segurança do Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem aprimorada para alertas – ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento.
- Mais informações na lista de alertas – como táticas MITRE ATT&ACK.
- Button para criar alertas de exemplo – para avaliar Azure Defender recursos e testar seus alertas. configuração (para integração siem, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos de Azure Defender.
- Alignment com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro.
- Melhor desempenho para listas de alertas grandes.
- Navegação de teclado por meio da lista de alertas.
- Alerts do Azure Resource Graph – você pode consultar alertas em Azure Resource Graph, a API semelhante a Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Learn mais sobre Azure Resource Graph.
- Criar o recurso de alertas de exemplo – Para criar alertas de exemplo com base na nova experiência de alertas, consulte Gerar alertas de exemplo Azure Defender.
Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)
Estamos felizes em anunciar a GA (disponibilidade geral) do conjunto de recomendações para proteções de cargas de trabalho do Kubernetes.
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
Quando Azure Policy para Kubernetes estiver instalado em seu cluster AKS (Serviço de Kubernetes do Azure), cada solicitação para o servidor de API do Kubernetes será monitorada em relação ao conjunto predefinido de práticas recomendadas – exibidas como 13 recomendações de segurança – antes de serem mantidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.
Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.
Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.
Note
Enquanto as recomendações estavam em versão prévia, elas não renderizavam um recurso de cluster do AKS não íntegro e não eram incluídas nos cálculos da sua classificação de segurança. Com esse anúncio de GA, elas serão incluídas no cálculo de pontuação. Se você ainda não corrigiu, isso pode resultar em um pequeno impacto em sua classificação de segurança. Corrija-as sempre que possível, conforme descrito em recomendações Remediar em Central de Segurança do Azure.
Microsoft Defender para Ponto de Extremidade integração com Azure Defender agora dá suporte a Windows Server 2019 e Windows 10 na Área de Trabalho Virtual Windows (em versão prévia)
Microsoft Defender para Ponto de Extremidade é uma solução holística de segurança de ponto de extremidade entregue na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar Defender para Ponto de Extremidade junto com Central de Segurança do Azure, consulte Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Quando você habilita Azure Defender para servidores que executam Windows Server, uma licença para Defender para Ponto de Extremidade é incluída no plano. Se você já tiver habilitado Azure Defender para Servidores e tiver Windows Server 2019 servidores em sua assinatura, eles receberão automaticamente Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.
O suporte agora foi expandido para incluir Windows Server 2019 e Windows 10 em Windows Área de Trabalho Virtual.
Note
Se você estiver habilitando Defender para Ponto de Extremidade em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Enable a integração Microsoft Defender para Ponto de Extremidade.
Link direto para a política na página de detalhes da recomendação
Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação com suporte de uma política, há um novo link na página de detalhes da recomendação:
Use esse link para ver a definição de política e examinar a lógica de avaliação.
A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança
A recomendação Os dados confidenciais nos seus bancos de dados SQL devem ser classificados não afetará mais sua classificação de segurança. O controle de segurança Aplicar classificação de dados que a contém agora tem um valor de pontuação de segurança de 0.
Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.
As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)
Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.
Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.
Aprimoramentos de página de inventário de ativos
A página de inventário de ativos da Central de Segurança foi aprimorada:
Os resumos na parte superior da página agora incluem assinaturas não registradas, mostrando o número de assinaturas sem a Central de Segurança habilitada.
Os filtros foram expandidos e aprimorados para incluir:
Contagens – Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria
Contém filtro de isenções (opcional) – Restrinja os resultados a recursos que têm/não têm isenções. Esse filtro não é mostrado por padrão, mas é acessível a partir do botão Adicionar filtro .
Saiba mais sobre como Explorar e gerenciar seus recursos com o inventário de ativos.
Janeiro de 2021
As atualizações em janeiro incluem:
- Azure Security Benchmark agora é a iniciativa de política padrão para Central de Segurança do Azure
- A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)
- A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia
- API de classificação de segurança lançada para GA (disponibilidade geral)
- proteções DNS Dangling adicionadas a Azure Defender para o Serviço de Aplicativo
- Conectores multinuvem lançados para GA (Disponibilidade Geral)
- Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento
- Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global
- recomendações de versão prévia 35 adicionadas para aumentar a cobertura do Azure Security Benchmark
- Exportação de CSV da lista de recomendações filtrada
- recursos "não aplicáveis" agora relatados como "Compatível" em avaliações Azure Policy
- Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)
Azure Security Benchmark agora é a iniciativa de política padrão para Central de Segurança do Azure
Azure Security Benchmark é o conjunto de diretrizes específico Azure de autoria Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.
Nos últimos meses, a lista da Central de Segurança de recomendações de segurança internas cresceu significativamente expandindo nossa cobertura desse parâmetro de comparação.
A partir desta versão, o parâmetro de comparação é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.
Todos os serviços Azure têm uma página de linha de base de segurança na documentação. Essas linhas de base são criadas no Azure Security Benchmark.
Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do parâmetro de comparação durante um período de transição:
As recomendações existentes não são afetadas e, conforme o parâmetro de comparação cresce, as alterações serão refletidas automaticamente na Central de Segurança.
Para saber mais, confira as seguintes páginas:
- Learn mais sobre Azure Security Benchmark
- Personalizar o conjunto de padrões no seu painel de conformidade regulatória
A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)
Em outubro, anunciamos uma versão prévia da verificação de servidores habilitados para Azure Arc com Azure Defender para Servidores' verificador de avaliação de vulnerabilidade integrada (alimentado pelo Qualys).
Ela agora foi lançada para GA (disponibilidade geral).
Quando você habilitar Azure Arc em seus computadores não Azure, a Central de Segurança se oferecerá para implantar o verificador de vulnerabilidade integrado neles – manualmente e em escala.
Com essa atualização, você pode liberar o poder de Azure Defender para Servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos Azure e não Azure.
Principais recursos:
- Monitorando o estado de provisionamento do scanner va (avaliação de vulnerabilidade) em computadores Azure Arc
- Provisionando o agente de VA integrado para computadores Windows e linux Azure Arc desprotegidos (manualmente e em escala)
- Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
- Experiência unificada para máquinas Azure VMs e Azure Arc
Learn mais sobre servidores habilitados para Azure Arc.
A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia
A página de classificação de segurança agora mostra as classificações de segurança agregadas dos seus grupos de gerenciamento, além do nível de assinatura. Agora, você pode ver a lista de grupos de gerenciamento na sua organização e a pontuação de cada grupo de gerenciamento.
Saiba mais sobre segure score and security controls in Central de Segurança do Azure.
API de classificação de segurança lançada para GA (disponibilidade geral)
Agora é possível acessar sua classificação por meio de uma API de classificação de segurança. Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo:
- usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica
- use a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas
Saiba mais sobre as ferramentas externas possíveis com a API de pontuação segura em a área de pontuação segura de nossa comunidade GitHub.
Saiba mais sobre segure score and security controls in Central de Segurança do Azure.
Proteções DNS pendentes adicionadas a Azure Defender para o Serviço de Aplicativo
As invasões de subdomínios são uma ameaça comum de gravidade alta para as organizações. Uma tomada de controle de subdomínio poderá ocorrer quando um registro DNS indicar um site desprovisionado. Esses registros DNS também são conhecidos como entradas "DNS pendentes". Os registros CNAME são particularmente vulneráveis a essa ameaça.
As invasões de subdomínio permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
Azure Defender do Serviço de Aplicativo agora detecta entradas DNS pendentes quando um site do Serviço de Aplicativo é desativado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe e seu site está vulnerável a um controle de subdomínio. Essas proteções estão disponíveis se seus domínios são gerenciados com DNS do Azure ou um registrador de domínio externo e se aplicam ao Serviço de Aplicativo em Windows e Serviço de Aplicativo no Linux.
Saiba Mais:
- A tabela de referência de alerta do Serviço de Aplicativo - Inclui dois novos alertas de Azure Defender que disparam quando uma entrada DNS pendente é detectada
- Impedir a ocorrência de entradas DNS pendentes e evitar a tomada de controle de subdomínio – Saiba mais sobre aspectos da ameaça de tomada de controle de subdomínio e de um DNS pendente
- Introduction para Azure Defender para o Serviço de Aplicativo
Conectores multinuvem lançados para GA (Disponibilidade Geral)
Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.
Central de Segurança do Azure protege cargas de trabalho em Azure, Amazon Web Services (AWS) e GCP (Google Cloud Platform).
Conectar seus projetos AWS ou GCP integra suas ferramentas de segurança nativas, como o Hub de Segurança do AWS e a Central de Comandos de Segurança do GCP em Central de Segurança do Azure.
Essa funcionalidade significa que a Central de Segurança fornece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios dessa integração:
- Provisionamento automático de agente – a Central de Segurança usa Azure Arc para implantar o agente Log Analytics em suas instâncias do AWS
- Gerenciamento de políticas
- Gerenciamento de vulnerabilidades
- Detecção e Resposta de Ponto de Extremidade Inserido (EDR)
- Detecção de configurações incorretas de segurança
- Uma exibição que mostra as recomendações de segurança de todos os provedores de nuvem
- Incorporar todos os recursos aos cálculos de classificação de segurança da Central de Segurança
- Avaliações de conformidade regulatória dos recursos da AWS e da GCP
No menu do Defender para Nuvem, selecione Multicloud connectors e você verá as opções para criar novos conectores:
Saiba mais em:
- Conecte suas contas do AWS para Central de Segurança do Azure
- Conecte seus projetos GCP para Central de Segurança do Azure
Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento
Estamos expandindo a funcionalidade de isenção para incluir recomendações inteiras. Fornecendo mais opções para ajustar as recomendações de segurança que a Central de Segurança faz para as suas assinaturas, grupo de gerenciamento ou recursos.
Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que não foi detectada pela Central de Segurança. Ou uma recomendação será mostrada em um escopo no qual você acha que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados à recomendação ou ao recurso específico.
Com essa versão prévia do recurso, agora você pode criar uma isenção de uma recomendação para:
Isentar um recurso para garantir que ele não esteja listado com os recursos não íntegros no futuro e não afete a sua classificação de segurança. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma assinatura ou grupo de gerenciamento para garantir que a recomendação não afete a sua classificação de segurança e não seja mostrada para a assinatura ou grupo de gerenciamento no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você criar no futuro. A recomendação será marcada com a justificativa específica selecionada para o escopo que você selecionou.
Saiba mais em Isentando recursos e recomendações da sua classificação de segurança.
Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global
Caso não tenham permissões para conferir os dados da Central de Segurança, os usuários agora podem acessar um link para solicitar permissões ao administrador global da organização. A solicitação inclui a função que ele deseja e a justificativa do por que ela é necessária.
Saiba mais em Solicitar permissões em todo o locatário quando as suas forem insuficientes.
35 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
Azure Security Benchmark é a iniciativa de política padrão no Central de Segurança do Azure.
Para aumentar a cobertura desse parâmetro de comparação, as 35 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança.
Tip
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em recomendações Remediate no Central de Segurança do Azure.
| Controle de segurança | Novas recomendações |
|---|---|
| Habilitar a criptografia em repouso | - Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos - Azure Machine Learning workspaces devem ser criptografados com uma CMK (chave gerenciada pelo cliente) – A proteção de dados do Bring Your Own Key será habilitada para servidores MySQL – A proteção de dados do Bring Your Own Key será habilitada para servidores PostgreSQL - Serviços de IA do Azure contas devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente) – Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente) – As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos – Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos – As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia |
| Implementar melhores práticas de segurança | – As assinaturas devem ter um endereço de email de contato para problemas de segurança – O provisionamento automático do agente de Log Analytics deve ser habilitado em sua assinatura – A notificação por email para alertas de alta severidade deve ser habilitada – A notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada – Os cofres de chaves devem ter a proteção contra limpeza habilitada – Os cofres de chaves devem ter a exclusão temporária habilitada |
| Gerenciar acesso e permissões | – Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada |
| Proteger os aplicativos contra DDoS | - o WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo - Firewall de Aplicativo Web (WAF) deve ser habilitado para Azure Front Door Service serviço |
| Restringir acesso não autorizado à rede | - O firewall deve ser habilitado no Key Vault – O ponto de extremidade privado deve ser configurado para Key Vault – A Configuração de Aplicativos deve usar um link privado - Cache do Azure para Redis deve residir em uma rede virtual - Grade de Eventos do Azure domínios devem usar o link privado - Grade de Eventos do Azure tópicos devem usar o link privado - Azure Machine Learning workspaces devem usar o link privado - Serviço do Azure SignalR deve usar o link privado - Azure Spring Cloud deve usar injeção de rede – Os registros de contêiner não devem permitir acesso irrestrito à rede – Os registros de contêiner devem usar um link privado – O acesso à rede pública deve ser desabilitado para servidores MariaDB – O acesso à rede pública deve ser desabilitado para servidores MySQL – O acesso à rede pública deve ser desabilitado para servidores PostgreSQL – A conta de armazenamento deve usar uma conexão de link privado – As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual – Os modelos do Construtor de Imagens de VM devem usar um link privado |
Ligações relacionadas:
- Learn mais sobre Azure Security Benchmark
- Learn mais sobre Banco de Dados do Azure para MariaDB
- Learn mais sobre Banco de Dados do Azure para MySQL
- Learn mais sobre Banco de Dados do Azure para PostgreSQL
Exportação de CSV da lista de recomendações filtrada
Em novembro de 2020, adicionamos filtros à página de recomendações.
Com este comunicado, estamos alterando o comportamento do botão Baixar para CSV para que a exportação de CSV inclua apenas as recomendações atualmente exibidas na lista filtrada.
Por exemplo, na imagem abaixo, você pode ver que a lista foi filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.
Saiba mais nas recomendações Security no Central de Segurança do Azure.
Recursos "não aplicáveis" agora são relatados como "Em conformidade" em avaliações Azure Policy
Anteriormente, os recursos avaliados para uma recomendação e considerados não aplicável apareciam em Azure Policy como "Não compatível". Nenhuma ação do usuário poderia alterar o estado deles para "Em conformidade". Com essa alteração, os recursos agora são relatados como "em conformidade" para maior clareza.
O único impacto será visto em Azure Policy em que o número de recursos em conformidade aumentará. Não haverá impacto na pontuação de segurança em Central de Segurança do Azure.
Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)
Adicionamos um novo recurso de visualização às ferramentas de exportação contínuas para exportar instantâneos semanais de dados de pontuação segura e conformidade regulatória.
Ao definir uma exportação contínua, defina a frequência de exportação:
- Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
- Instantâneos – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado toda semana (este é um recurso de visualização para instantâneos semanais de pontuações seguras e dados de conformidade regulatória).
Saiba mais sobre as funcionalidades completas desse recurso em Exportar continuamente os dados da Central de Segurança.
Dezembro de 2020
As atualizações de dezembro incluem:
- Azure Defender para servidores SQL em computadores geralmente está disponível
- Azure Defender para suporte a SQL para Azure Synapse Analytics pool de SQL dedicado geralmente está disponível
- Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários
- Two novos planos de Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)
- A nova página de alertas de segurança no portal do Azure (versão prévia)
Revitalized Security Center experience in Banco de Dados SQL do Azure & Instância Gerenciada de SQL - Ferramentas e filtros de inventário de ativos atualizados
- Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança
- A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis
- A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas
Azure Defender para servidores SQL em computadores geralmente está disponível
Central de Segurança do Azure oferece dois planos de Azure Defender para SQL Servers:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos de Azure
- Azure Defender para servidores SQL em computadores - estende as mesmas proteções aos servidores SQL em ambientes híbridos, multinuvem e locais
Com este comunicado, Azure Defender para SQL agora protege seus bancos de dados e seus dados onde quer que estejam localizados.
Azure Defender para SQL inclui recursos de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidade inclui os seguintes recursos avançados:
- Configuração de linha de base (Novo!) para refinar de forma inteligente os resultados de verificações de vulnerabilidade para aqueles que podem representar problemas reais de segurança. Depois de estabelecer o estado de segurança de linha de base, a ferramenta de avaliação de vulnerabilidade só relata desvios desse estado de linha de base. Os resultados que correspondem à linha de base são considerados ao passar nas verificações posteriores. Isso permite que você e os analistas concentrem a atenção onde importa.
- As Informações detalhadas de benchmark ajudam você a entender as descobertas e por que elas se relacionam com os seus recursos.
- Scripts de correção para ajudá-lo a reduzir os riscos identificados.
Saiba mais sobre Azure Defender para SQL.
Azure Defender para suporte a SQL para Azure Synapse Analytics pool de SQL dedicado geralmente está disponível
Azure Synapse Analytics (antigo SQL DW) é um serviço de análise que combina data warehousing corporativo e análise de Big Data. Pools de SQL dedicados são os recursos de armazenamento de dados corporativos do Azure Synapse. Saiba mais em O que é Azure Synapse Analytics (antigo SQL DW)?.
Azure Defender para SQL protege seus pools de SQL dedicados com:
- Proteção avançada contra ameaças para detectar ameaças e ataques
- Funcionalidades de avaliação de vulnerabilidade para identificar e corrigir configurações incorretas de segurança
Azure Defender para o suporte do SQL para pools de SQL Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure em Central de Segurança do Azure. Há uma nova guia Azure Defender para SQL na página do workspace do Synapse no portal do Azure.
Saiba mais sobre Azure Defender para SQL.
Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários
Um usuário com a função Microsoft Entra ID de administrador Global pode ter responsabilidades em todo o locatário, mas não tem as permissões Azure para exibir essas informações em toda a organização em Central de Segurança do Azure.
Para atribuir a si mesmo permissões no nível dos locatários, siga as instruções descritas em Conceder a si mesmo permissões em todo o locatário.
Dois novos planos de Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)
Adicionamos duas novas funcionalidades de proteção contra ameaças de amplitude nativa de nuvem para seu ambiente de Azure.
Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaça e aumentam significativamente o número de recursos de Azure protegidos por Azure Defender.
Azure Defender para Resource Manager – monitora automaticamente todas as operações de gerenciamento de recursos executadas em sua organização. Para obter mais informações, consulte:
Azure Defender para DNS – monitora continuamente todas as consultas DNS de seus recursos de Azure. Para obter mais informações, consulte:
Nova página de alertas de segurança no portal do Azure (versão prévia)
A página de alertas de segurança do Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem aprimorada para alertas –ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento
- Mais informações na lista de alertas – como táticas MITRE ATT&ACK
- Button para criar alertas de exemplo – para avaliar Azure Defender funcionalidades e testar sua configuração de alertas (para integração siem, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos Azure Defender
- Alignment com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro
- Melhor desempenho para listas de alertas grandes
- Navegação de teclado por meio da lista de alertas
- Alerts do Azure Resource Graph – você pode consultar alertas em Azure Resource Graph, a API semelhante a Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Learn mais sobre Azure Resource Graph.
Para acessar a nova experiência, use o link "Experimente agora" da faixa na parte superior da página de alertas de segurança.
Para criar alertas de exemplo com base na nova experiência de alertas, consulte Gerar alertas de exemplo Azure Defender.
Experiência da Central de Segurança Revitalizada no Banco de Dados SQL do Azure & Instância Gerenciada de SQL
A experiência da Central de Segurança no SQL fornece acesso à seguinte Central de Segurança e Azure Defender para recursos do SQL:
- recomendações Security – a Central de Segurança analisa periodicamente o estado de segurança de todos os recursos de Azure conectados para identificar possíveis configurações incorretas de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
- alertas Security – um serviço de detecção que monitora continuamente as atividades de SQL do Azure para ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Esse serviço dispara alertas de segurança detalhados e orientados a ações na Central de Segurança e fornece opções para continuar as investigações com Microsoft Sentinel, a solução SIEM nativa Azure do Microsoft.
- Findings – um serviço de avaliação de vulnerabilidade que monitora continuamente SQL do Azure configurações e ajuda a corrigir vulnerabilidades. As verificações de avaliação fornecem uma visão geral de SQL do Azure estados de segurança, juntamente com descobertas detalhadas de segurança.
os recursos de segurança do 
Ferramentas e filtros de inventário de ativos atualizados
A página de inventário no Central de Segurança do Azure foi atualizada com as seguintes alterações:
Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.
Filtro de assinaturas adicionado aos filtros padrão disponíveis para seus recursos.
Open query link para abrir as opções de filtro atuais como uma consulta Azure Resource Graph (anteriormente chamada "Exibir no gerenciador de grafo de recursos").
Opções de operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira localizar todos os recursos com recomendações ativas cujos títulos incluem a cadeia de caracteres "encrypt".
Saiba mais sobre inventário em Explorar e gerenciar seus recursos com o inventário de ativos.
Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança
A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada" foi movida do controle de segurança Gerenciar o acesso e as permissões (vale no máximo quatro pontos) para Implementar as melhores práticas de segurança (que não vale nenhum ponto).
Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, é irrelevante. se você acessar seu site por HTTP e não por HTTPS, você não receberá nenhum certificado do cliente. Por isso, se o aplicativo exigir certificados de cliente, você não deverá permitir solicitações ao seu aplicativo via HTTP. Saiba mais em Configure TLS mutual authentication for Serviço de Aplicativo do Azure.
Com essa alteração, a recomendação agora é uma prática recomendada que não afetará sua classificação.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis
Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e os padrões relevantes para sua organização, setor e país/região.
À medida que a Central de Segurança continua a expandir sua cobertura e seus recursos, a lista de recomendações de segurança cresce todos os meses. Por exemplo, consulte Twenty nove recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark.
Com a lista cada vez maior, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionamos filtros à página de recomendações (confira A lista de recomendações agora inclui filtros).
Os filtros adicionados neste mês fornecem opções para refinar a lista de recomendações de acordo com:
Environment - Veja as recomendações para seus recursos de AWS, GCP ou Azure (ou qualquer combinação)
Severidade – Exibir recomendações de acordo com a classificação de severidade definida pela Central de Segurança
Ações de resposta – Exibir recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor
Tip
O filtro de ações de resposta substitui o filtro de correção rápida disponível (Sim/Não) .
Saiba mais sobre cada uma dessas opções de resposta:
A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas
as ferramentas de exportação contínua do Central de Segurança do Azure permitem exportar recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.
A exportação contínua permite que você personalize totalmente o que será exportado e o local da exportação. Para obter detalhes completos, confira Exportar continuamente dados da Central de Segurança.
Essas ferramentas foram aprimoradas e expandidas das seguintes maneiras:
Aprimoramento das políticas deployifnotexist da exportação contínua. As políticas agora:
Verificam se a configuração está habilitada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos de Azure Policy fornecidos na guia "Implantar em escala com Azure Policy" em Conseje uma exportação contínua.
Dão suporte à exportação de descobertas de segurança. Ao usar os modelos de Azure Policy, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações com "sub" recomendações, como as descobertas de verificações de avaliação de vulnerabilidade ou atualizações de sistema específicas para a recomendação "pai" "As atualizações do sistema devem ser instaladas em seus computadores".
Dão suporte à exportação de dados da classificação de segurança.
Dados de avaliação de conformidade regulatória adicionados (em versão prévia). Agora você pode exportar continuamente atualizações para avaliações de conformidade regulatória, inclusive para quaisquer iniciativas personalizadas, para um workspace Log Analytics ou Hubs de Eventos. Este recurso não está disponível em nuvens nacionais.
Novembro de 2020
As atualizações de novembro incluem:
- recomendações de versão prévia 29 adicionadas para aumentar a cobertura do Azure Security Benchmark
- NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança
- A lista de recomendações agora inclui filtros
- Experiência de provisionamento automático aprimorada e expandida
- A classificação de segurança já está disponível na exportação contínua (versão prévia)
- A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações
- A página de gerenciamento Policy no portal Azure agora mostra o status das atribuições de política padrão
29 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
Azure Security Benchmark é o conjunto Microsoft, Azure específico, de diretrizes para as práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Learn mais sobre Azure Security Benchmark.
As 29 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança para aumentar a cobertura desse parâmetro de comparação.
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em recomendações Remediate no Central de Segurança do Azure.
| Controle de segurança | Novas recomendações |
|---|---|
| Criptografar dados em trânsito | – Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL – Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL – O TLS deve estar atualizado com a última versão para o aplicativo de API – O TLS deve estar atualizado com a última versão para o aplicativo de funções – O TLS deve estar atualizado com a última versão para o aplicativo Web – O FTPS deve ser exigido no aplicativo de API – O FTPS deve ser exigido no aplicativo de funções – O FTPS deve ser exigido no aplicativo Web |
| Gerenciar acesso e permissões | – Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada – A identidade gerenciada deve ser usada no aplicativo de API – A identidade gerenciada deve ser usada no aplicativo de funções – A identidade gerenciada deve ser usada no aplicativo Web |
| Restringir acesso não autorizado à rede | – O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL – O ponto de extremidade privado deve ser habilitado para servidores MariaDB – O ponto de extremidade privado deve ser habilitado para servidores MySQL |
| – Habilitar a auditoria e o registro em log | – Os logs de diagnóstico devem ser habilitados nos Serviços de Aplicativo |
| Implementar melhores práticas de segurança | - Backup do Azure deve ser habilitado para máquinas virtuais – O backup com redundância geográfica deve ser habilitado para Banco de Dados do Azure para MariaDB – O backup com redundância geográfica deve ser habilitado para Banco de Dados do Azure para MySQL – O backup com redundância geográfica deve ser habilitado para Banco de Dados do Azure para PostgreSQL – O PHP deve estar atualizado com a última versão para o aplicativo de API – O PHP deve estar atualizado com a última versão para o aplicativo Web - Java deve ser atualizado para a versão mais recente do aplicativo de API - Java deve ser atualizado para a versão mais recente do aplicativo de funções - Java deve ser atualizado para a versão mais recente do seu aplicativo Web - Python deve ser atualizado para a versão mais recente do aplicativo de API - Python deve ser atualizado para a versão mais recente do aplicativo de funções - Python deve ser atualizado para a versão mais recente do seu aplicativo Web – A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias |
Ligações relacionadas:
- Learn mais sobre Azure Security Benchmark
- Learn mais sobre Azure aplicativos de API
- Learn mais sobre Azure aplicativos de funções
- Learn mais sobre Azure aplicativos Web
- Learn mais sobre Banco de Dados do Azure para MariaDB
- Learn mais sobre Banco de Dados do Azure para MySQL
- Learn mais sobre Banco de Dados do Azure para PostgreSQL
NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança
O padrão NIST SP 800-171 R2 agora está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de Conformidade Regulatória do NIST SP 800-171 R2.
Para aplicar o padrão às suas assinaturas e monitorar continuamente o status de conformidade, use as instruções presentes em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
A lista de recomendações agora inclui filtros
Agora você pode filtrar a lista de recomendações de segurança com base em uma gama de critérios. No seguinte exemplo, a lista de recomendações foi filtrada para mostrar recomendações que:
- geralmente estão disponíveis (ou seja, não versão prévia)
- são para contas de armazenamento
- dar suporte à correção rápida
Experiência de provisionamento automático aprimorada e expandida
O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs novas e existentes Azure para que possam se beneficiar das proteções da Central de Segurança.
À medida que Central de Segurança do Azure cresce, mais extensões foram desenvolvidas e a Central de Segurança pode monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático foram expandidas para dar suporte a outras extensões e tipos de recursos aproveitando os recursos de Azure Policy.
Agora você pode configurar o provisionamento automático de:
- agente Log Analytics
- (Novo) Azure Policy para Kubernetes
- (Novo) agente de dependência do Microsoft
Saiba mais em Autoprovisioning agents and extensions from Central de Segurança do Azure.
A classificação de segurança já está disponível na exportação contínua (versão prévia)
Com a exportação contínua de pontuação segura, você pode transmitir alterações à sua pontuação em tempo real para Hubs de Eventos do Azure ou um workspace Log Analytics. Use essa funcionalidade para:
- acompanhar sua classificação de segurança ao longo do tempo com relatórios dinâmicos
- exportar dados de pontuação segura para Microsoft Sentinel (ou qualquer outro SIEM)
- integrar esses dados a qualquer processo que você já esteja usando para monitorar a classificação de segurança em sua organização
Saiba mais sobre como Exportar continuamente dados da Central de Segurança.
A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações
A recomendação As atualizações do sistema devem ser instaladas nos computadores foi aprimorada. A nova versão inclui sub-recomendações para cada atualização ausente e fornece os seguintes aprimoramentos:
Uma experiência reprojetada nas páginas Central de Segurança do Azure do portal Azure. A página de detalhes da recomendação para As atualizações do sistema devem ser instaladas nos computadores inclui a lista de conclusões, conforme mostrado abaixo. Quando você seleciona uma localização individual, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.
Dados enriquecidos para a recomendação de Azure Resource Graph (ARG). O ARG é um serviço Azure projetado para fornecer exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas a fim de controlar seu ambiente de maneira eficaz.
Para Central de Segurança do Azure, você pode usar o ARG e o Kusto Query Language (KQL) para consultar uma ampla gama de dados de postura de segurança.
Anteriormente, se você consultasse essa recomendação no ARG, a única informação disponível seria que a recomendação precisava ser corrigida em um computador. A consulta a seguir da versão aprimorada retornará todas as atualizações de sistema ausentes agrupadas por computador.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
A página de gerenciamento de políticas no portal Azure agora mostra o status das atribuições de política padrão
Agora você pode ver se suas assinaturas têm ou não a política padrão da Central de Segurança atribuída, na página se política de segurança da Central de Segurança do portal Azure.
Outubro de 2020
As atualizações de outubro incluem:
- Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)
- Firewall do Azure recomendação adicionada (versão prévia)
- Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida
- O painel de conformidade regulatória agora inclui a opção de remoção de padrões
- Microsoft. Tabela Security/securityStatuses removida do Azure Resource Graph
Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)
Azure Defender for Servers's integrated vulnerability assessment scanner (alimentado pelo Qualys) agora verifica os servidores habilitados para Azure Arc.
Quando você habilitar Azure Arc em seus computadores não Azure, a Central de Segurança se oferecerá para implantar o verificador de vulnerabilidade integrado neles – manualmente e em escala.
Com essa atualização, você pode liberar o poder de Azure Defender para Servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos Azure e não Azure.
Principais recursos:
- Monitorando o estado de provisionamento do scanner va (avaliação de vulnerabilidade) em computadores Azure Arc
- Provisionando o agente de VA integrado para computadores Windows e linux Azure Arc desprotegidos (manualmente e em escala)
- Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
- Experiência unificada para máquinas Azure VMs e Azure Arc
Learn mais sobre servidores habilitados para Azure Arc.
Firewall do Azure recomendação adicionada (versão prévia)
Uma nova recomendação foi adicionada para proteger todas as suas redes virtuais com Firewall do Azure.
A recomendação, Contual networks should be protected by Firewall do Azure aconselha você a restringir o acesso às suas redes virtuais e evitar possíveis ameaças usando Firewall do Azure.
Saiba mais sobre Firewall do Azure.
Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida
A recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes agora tem uma opção de correção rápida.
O painel de conformidade regulatória agora inclui a opção de remoção de padrões
O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a requisitos e controles de conformidade específicos.
O painel inclui um conjunto padrão de padrões regulatórios. Se um dos padrões fornecidos não é relevante para sua organização, removê-los da interface do usuário de uma assinatura passou a ser um processo simples. Os padrões só podem ser removidos no nível da assinatura ; não o escopo do grupo de gerenciamento.
Saiba mais em Remover um padrão de seu painel.
Microsoft. Tabela Security/securityStatuses removida do Azure Resource Graph (ARG)
Azure Resource Graph é um serviço em Azure projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala em um determinado conjunto de assinaturas para que você possa controlar efetivamente seu ambiente.
Para Central de Segurança do Azure, você pode usar o ARG e o Kusto Query Language (KQL) para consultar uma ampla gama de dados de postura de segurança. Por exemplo:
- O inventário de ativos utiliza ARG
- Documentamos um exemplo de consulta do ARG para saber como Identificar contas sem a MFA (autenticação multifator) habilitada
Há tabelas de dados no ARG que poderão ser usadas em suas consultas.
Tip
A documentação do ARG lista todas as tabelas disponíveis em Azure Resource Graph tabela e referência de tipo de recurso.
Nesta atualização, o Microsoft. A tabela security/securityStatuses foi removida. A API securityStatuses ainda está disponível.
A substituição de dados pode ser usada por Microsoft. Tabela de segurança/avaliações.
A principal diferença entre Microsoft. Segurança/securityStatuses e Microsoft. Segurança/Avaliações é que, embora o primeiro mostre a agregação de avaliações, os segundos mantêm um único registro para cada um.
Por exemplo, Microsoft. Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Enquanto Microsoft. As avaliações/segurança mantêm um registro para cada avaliação de política da seguinte maneira:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemplo de conversão de uma consulta de ARG existente usando securityStatuses para usar a tabela de avaliações:
Consulta que faz referência a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de substituição para a tabela de Avaliações:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Saiba mais consultando os seguintes links:
Setembro de 2020
As atualizações de setembro incluem:
- A Central de Segurança ganha uma nova aparência!
- Azure Defender lançado
- Azure Defender para Key Vault geralmente está disponível
- Azure Defender para proteção de armazenamento para arquivos e o ADLS Gen2 geralmente está disponível
- Ferramentas de inventário de ativos em disponibilidade geral
- Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais
- Isentar um recurso de uma recomendação
- Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens
- Pacote de recomendações da proteção de cargas de trabalho do Kubernetes
- Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua
- Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos
- Aprimoramento das recomendações de grupo de segurança de rede
- Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"
- Email notificações de Central de Segurança do Azure aprimoradas
- A classificação de segurança não inclui recomendações de versão prévia
- As recomendações agora incluem um indicador de severidade e o intervalo de atualização
A Central de Segurança ganha uma nova aparência
Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e dashboards para pontuação segura, inventário de ativos e Azure Defender.
A página de visão geral reprojetada agora tem um bloco para acessar a pontuação segura, o inventário de ativos e os painéis de Azure Defender. Também traz um bloco vinculado ao painel de conformidade regulatória.
Saiba mais sobre a página de visão geral.
Azure Defender liberado
Azure Defender é a CWPP (Cloud Workload Protection Platform) integrada na Central de Segurança para proteção avançada, inteligente e de Azure cargas de trabalho híbridas. Ele substitui a opção de tipo de preço Standard da Central de Segurança.
Quando você habilita Azure Defender da área de Pricing e configurações área de Central de Segurança do Azure, os seguintes planos de Defender são habilitados simultaneamente e fornecem defesas abrangentes para as camadas de computação, dados e serviço do seu ambiente:
- Azure Defender para Servidores
- Azure Defender para o Serviço de Aplicativo
- Azure Defender para Armazenamento
- Azure Defender para SQL
- Azure Defender para Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registros de contêiner
Cada um desses planos é explicado separadamente na documentação da Central de Segurança.
Com seu painel dedicado, o Azure Defender fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede e muito mais.
Learn mais sobre Azure Defender
Azure Defender para Key Vault geralmente está disponível
Azure Key Vault é um serviço de nuvem que protege chaves de criptografia e segredos, como certificados, cadeias de conexão e senhas.
Azure Defender para Key Vault fornece proteção avançada contra ameaças Azure para Azure Key Vault, fornecendo uma camada adicional de inteligência de segurança. Por extensão, Azure Defender para Key Vault está, consequentemente, protegendo muitos dos recursos dependentes de suas contas de Key Vault.
Agora, o plano opcional é GA. Esse recurso estava em versão prévia como "proteção avançada contra ameaças para Azure Key Vault".
Além disso, as páginas de Key Vault no portal do Azure agora incluem uma página dedicada Security para Security Center recomendações e alertas.
Saiba mais em Azure Defender para Key Vault.
Azure Defender para proteção de armazenamento para arquivos e o ADLS Gen2 está disponível em geral
Azure Defender for Storage detecta atividade potencialmente prejudicial em suas contas de Armazenamento do Azure. Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
O suporte para Arquivos do Azure e Azure Data Lake Storage Gen2 agora está disponível em geral.
Desde 1º de outubro de 2020, começamos a cobrar pela proteção de recursos nesses serviços.
Saiba mais em Azure Defender for Storage.
Ferramentas de inventário de ativos em disponibilidade geral
A página de inventário de ativos do Central de Segurança do Azure fornece uma única página para exibir a postura de segurança dos recursos conectados à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos de Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades.
Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.
Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.
Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais
Azure Defender inclui scanners de vulnerabilidade para verificar imagens em seu Registro de Contêiner do Azure e suas máquinas virtuais.
Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.
Quando uma descoberta corresponde aos critérios definidos nas regras de desabilitação, ela não será exibida na lista de descobertas.
Essa opção está disponível nas páginas de detalhes de recomendações para:
- Vulnerabilities em imagens Registro de Contêiner do Azure devem ser corrigidas
- As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Isentar um recurso de uma recomendação
Ocasionalmente, um recurso será listado como não íntegro em relação a uma recomendação específica (e, portanto, reduzindo sua classificação de segurança) mesmo que você ache que ele não deveria ser. Ele pode ter sido corrigido por um processo não acompanhado pela Central de Segurança. Ou, talvez, sua organização tenha decidido aceitar o risco para esse recurso específico.
Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Essas regras podem incluir justificações documentadas, conforme descrito abaixo.
Saiba mais em Isentar um recurso das recomendações e da classificação de segurança.
Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens
Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.
Central de Segurança do Azure agora protege cargas de trabalho em Azure, Amazon Web Services (AWS) e GCP (Google Cloud Platform).
Quando você integra projetos AWS e GCP na Central de Segurança, ele integra o Hub de Segurança do AWS, o Comando de Segurança do GCP e o Central de Segurança do Azure.
Saiba mais em Conecte suas contas do AWS para Central de Segurança do Azure e Conecte seus projetos do GCP para Central de Segurança do Azure.
Pacote de recomendações da proteção de cargas de trabalho do Kubernetes
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
Quando você instala Azure Policy para Kubernetes no cluster do AKS, cada solicitação para o servidor de API do Kubernetes será monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistente no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.
Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.
Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.
Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua
Use a exportação contínua para transmitir seus alertas e recomendações para Hubs de Eventos do Azure, Log Analytics workspaces ou Azure Monitor. A partir daí, você pode integrar esses dados a SIEMs, como Microsoft Sentinel, Power BI, Azure Data Explorer e muito mais.
As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações práticas em uma recomendação "pai", por exemplo, "As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas".
As descobertas de segurança já estão disponíveis para exportação por meio da exportação contínua quando você seleciona as recomendações e habilita a opção Incluir descobertas de segurança.
Páginas relacionadas:
- A solução integrada de avaliação de vulnerabilidades do Qualys center para máquinas virtuais Azure
- A solução de avaliação de vulnerabilidade integrada do Centro de Segurança para imagens Registro de Contêiner do Azure
- Exportação contínua
Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos
Configurações incorretas de segurança são uma das principais causas de incidentes de segurança. A Central de Segurança agora tem a capacidade de ajudar a evitar configurações incorretas de novos recursos em relação a recomendações específicas.
Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua classificação de segurança.
Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:
Usando o modo negado de Azure Policy, você pode impedir que recursos não íntegros sejam criados
Usando a opção imposta, você pode aproveitar o efeito DeployIfNotExist do Azure Policy e corrigir automaticamente recursos não compatíveis após a criação
Isso está disponível para as recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.
Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar.
Aprimoramento das recomendações de grupo de segurança de rede
As recomendações de segurança a seguir relacionadas aos grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.
- Todas as portas de rede devem ser restritas no NSG associado à sua VM
- Portas de gerenciamento devem ser fechadas nas máquinas virtuais
- As máquinas virtuais para a Internet devem ser protegidas com Grupos de Segurança de Rede
- As sub-redes devem ser associadas a um Grupo de Segurança de Rede
Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"
A recomendação de visualização "Políticas de Segurança do Pod devem ser definidas nos Serviços kubernetes" está sendo preterida conforme descrito na documentação Serviço de Kubernetes do Azure.
O recurso de política de segurança do pod (versão prévia), está definido para substituição e não estará mais disponível após 15 de outubro de 2020 em favor de Azure Policy para o AKS.
Depois que a política de segurança do pod (versão prévia) for preterida, você deverá desabilitar o recurso em todos os clusters existentes usando o recurso preterido para executar futuras atualizações de cluster e permanecer dentro de Suporte do Azure.
Notificações por email de Central de Segurança do Azure aprimoradas
As seguintes áreas dos emails relacionadas a alertas de segurança foram aprimoradas:
- Adição da capacidade de enviar notificações por email sobre alertas para todos os níveis de severidade
- Adicionada a capacidade de notificar os usuários com diferentes funções de Azure na assinatura
- Por padrão, estamos notificando de maneira proativa os proprietários da assinatura em alertas de alta severidade (que têm uma alta probabilidade de serem violações autênticas)
- Removemos o campo de número de telefone da página de configuração das notificações de email
Saiba mais em Configurar notificações por email para alertas de segurança.
A classificação de segurança não inclui recomendações de versão prévia
A Central de Segurança avalia continuamente seus recursos, suas assinaturas e a organização em busca de problemas de segurança. Em seguida, ele agrega todas as conclusões em uma única pontuação para que você possa ver, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
À medida que novas ameaças são descobertas, novas orientações de segurança são disponibilizadas na Central de Segurança por meio de novas recomendações. Para evitar alterações surpresas em sua pontuação de segurança e fornecer um período de carência no qual você pode explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Visualização não são mais incluídas nos cálculos de sua pontuação segura. Elas ainda deverão ser corrigidas sempre que possível, para que, quando o período de versão prévia terminar, elas contribuam para a sua classificação.
Além disso, as recomendações de visualização não renderizam um recurso "Não íntegro".
Um exemplo de recomendação de versão prévia:
Saiba mais sobre a classificação de segurança.
As recomendações agora incluem um indicador de severidade e o intervalo de atualização
A página de detalhes de recomendações agora inclui um indicador de intervalo de atualização (quando relevante) e uma exibição clara da severidade da recomendação.
Agosto de 2020
As atualizações de agosto incluem:
- Inventário de ativos: nova exibição avançada da postura de segurança dos ativos
- Adicionado suporte para padrões de segurança Microsoft Entra ID (para autenticação multifator)
- Adição da recomendação de entidades de serviço
- Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas
- Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Inventário de ativos: nova exibição avançada da postura de segurança dos ativos
O inventário de ativos da Central de Segurança (atualmente em versão prévia) fornece uma forma de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos de Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.
Use a exibição e os respectivos filtros para explorar seus dados de postura de segurança e realizar ações adicionais com base nas descobertas.
Saiba mais sobre o inventário de ativos.
Adicionado suporte para Microsoft Entra ID padrões de segurança (para autenticação multifator)
A Central de Segurança adicionou suporte completo para padrões de segurança , as proteções gratuitas de segurança de identidade do Microsoft.
Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização contra ataques comuns relacionados à identidade. Os padrões de segurança já estão protegendo mais de 5 milhões de locatários em geral; 50 mil locatários também estão protegidos pela Central de Segurança.
A Central de Segurança agora fornece uma recomendação de segurança sempre que identifica uma assinatura Azure sem padrões de segurança habilitados. Até agora, a Central de Segurança recomendava habilitar a autenticação multifator usando o acesso condicional, que faz parte do Microsoft Entra ID licença premium. Para clientes que usam Microsoft Entra ID gratuitamente, agora recomendamos habilitar padrões de segurança.
Nossa meta é incentivar mais clientes a proteger seus ambientes de nuvem com a MFA e atenuar um dos maiores riscos que também são os mais impactantes para sua pontuação de segurança.
Saiba mais sobre os padrões de segurança.
Adição da recomendação de entidades de serviço
Uma nova recomendação foi adicionada a fim de aconselhar os clientes da Central de Segurança que usam certificados de gerenciamento para gerenciar suas assinaturas mudem para as entidades de serviço.
A recomendação, Service principals deve ser usada para proteger suas assinaturas em vez de Certificados de Gerenciamento aconselha você a usar entidades de serviço ou Azure Resource Manager para gerenciar suas assinaturas com mais segurança.
Saiba mais sobre Application e objetos de entidade de serviço no Microsoft Entra ID.
Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas
A Central de Segurança inspeciona suas VMs para detectar se estão executando uma solução de avaliação de vulnerabilidades. Se nenhuma solução de avaliação de vulnerabilidades for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.
Quando as vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir, conforme necessário.
Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de verificador que estão usando, unificamos quatro recomendações nas duas seguintes:
| Recomendação unificada | Descrição da alteração |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Substitui as duas seguintes recomendações: ***** Habilitar a solução interna de avaliação de vulnerabilidades em máquinas virtuais (ativada pela Qualys) (agora preterida) (incluída na camada Standard) **** A solução de avaliação de vulnerabilidades deve ser instalada nas máquinas virtuais (agora preterida) (Camadas Standard e Gratuita) |
| As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas | Substitui as duas seguintes recomendações: ***** Corrija as vulnerabilidades encontradas nas máquinas virtuais (ativada pela Qualys) (agora preterida) ***** As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades (agora preterida) |
Agora, você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidades da Central de Segurança ou uma solução de licença privada ("BYOL") de um parceiro, como a Qualys ou a Rapid7.
Além disso, quando as vulnerabilidades forem encontradas e relatadas à Central de Segurança, uma só recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidades que as identificou.
Atualizando dependências
Se você tiver scripts, consultas ou automações referentes às recomendações ou aos nomes/às chaves de política anteriores, use as tabelas abaixo para atualizar as referências:
Antes de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Habilitar a solução interna de avaliação de vulnerabilidades nas máquinas virtuais (ativada pela Qualys) Chave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corrija as vulnerabilidades encontradas em suas máquinas virtuais (da plataforma Qualys) Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
A solução de avaliação de vulnerabilidades deve ser instalada nas suas máquinas virtuais Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades ID da política: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
A partir de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Interno + BYOL |
|
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Interno + BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Interno + BYOL |
Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
A fase inicial deste projeto inclui uma visualização e a adição de novas políticas (desabilitadas por padrão) à iniciativa ASC_default.
Você poderá ignorar essas políticas com segurança e não haverá nenhum impacto no seu ambiente. Se você quiser habilitá-los, inscreva-se para a visualização por meio da Microsoft Cloud Security Private Community e selecione entre as seguintes opções:
- Versão prévia única – para ingressar somente nesta versão prévia. Mencione explicitamente “Verificação contínua do ASC” como a versão prévia na qual deseja ingressar.
- Programa em andamento – para ser adicionado a esta e futuras visualizações. Você precisará preencher um perfil e assinar um contrato de privacidade.
Julho de 2020
As atualizações de julho incluem:
- A avaliação de vulnerabilidade para máquinas virtuais agora está disponível para imagens que não estão no marketplace
- A proteçãothreat para Armazenamento do Azure expandida para incluir Arquivos do Azure e Azure Data Lake Storage Gen2 (versão prévia)
- Oito novas recomendações para habilitar os recursos de proteção contra ameaças
- Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação
- Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho
- Seis políticas para a reprovação da Segurança de Dados Avançada do SQL
A avaliação de vulnerabilidades para máquinas virtuais já está disponível para imagens que não são do marketplace
Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. O objetivo da verificação era confirmar um SKU do marketplace da máquina virtual de destino.
A partir dessa atualização, a verificação é removida e agora você pode implantar ferramentas de avaliação de vulnerabilidade em computadores "personalizados" Windows e Linux. As imagens personalizadas são aquelas que você modificou dos padrões do marketplace.
Embora você possa implantar a extensão integrada de avaliação de vulnerabilidades (ativada pela Qualys) em muitos outros computadores, o suporte só estará disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs da camada Standard
Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (requer Azure Defender).
Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada de forma privada da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidades de parceiros.
Proteção contra ameaças para Armazenamento do Azure expandida para incluir Arquivos do Azure e Azure Data Lake Storage Gen2 (versão prévia)
A proteção contra ameaças para Armazenamento do Azure detecta atividade potencialmente prejudicial em suas contas de Armazenamento do Azure. A Central de Segurança exibe alertas quando detecta tentativas de acessar ou explorar suas contas de armazenamento.
Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Oito novas recomendações para habilitar os recursos de proteção contra ameaças
Oito novas recomendações foram adicionadas para fornecer uma maneira simples de habilitar os recursos de proteção contra ameaças do Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, planos do Serviço de Aplicativo, servidores Banco de Dados SQL do Azure, servidores SQL em computadores, contas Armazenamento do Azure, Serviço de Kubernetes do Azure clusters, registros Registro de Contêiner do Azure e cofres Azure Key Vault.
As novas recomendações são:
- A segurança de dados Advanced deve ser habilitada em servidores Banco de Dados SQL do Azure
- A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores
- a proteção contra ameaças Advanced deve ser habilitada em planos de Serviço de Aplicativo do Azure
- A proteção contra ameaças Advanced deve ser habilitada em registros Registro de Contêiner do Azure
- A proteção contra ameaças Advanced deve ser habilitada em cofres Azure Key Vault
- a proteção contra ameaças Advanced deve ser habilitada em clusters Serviço de Kubernetes do Azure
- A proteção contra ameaças Advanced deve ser habilitada em contas Armazenamento do Azure
- A Proteção Avançada contra Ameaças deve estar habilitada nas máquinas virtuais
As recomendações também incluem a funcionalidade de correção rápida.
Important
A correção de uma dessas recomendações resultará em custos para proteger os recursos relevantes. Esses custos serão iniciados imediatamente se você tiver recursos relacionados na assinatura atual. Ou, no futuro, se você adicioná-los em uma data posterior.
Por exemplo, se você não tiver nenhum Serviço de Kubernetes do Azure clusters em sua assinatura e habilitar a proteção contra ameaças, nenhum encargo será incorrido. Se, no futuro, você adicionar um cluster na mesma assinatura, ela será automaticamente protegida e os custos serão iniciados nesse momento.
Saiba mais sobre a proteção threat no Central de Segurança do Azure.
Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação
Como parte dos investimentos contínuos no domínio de segurança de contêiner, estamos felizes em compartilhar uma melhoria significativa de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas em Registro de Contêiner do Azure. Agora, as verificações normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, elas podem levar até 15 minutos.
Para melhorar a clareza e as diretrizes sobre os recursos de segurança de contêiner do Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança do contêiner.
Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho
O recurso de controles de aplicativos adaptáveis recebeu duas atualizações significativas:
Uma nova recomendação identifica o comportamento potencialmente legítimo que não era permitido antes. A nova recomendação, As regras de lista de permissões na sua política de controle de aplicativos adaptáveis deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativos adaptáveis.
Agora, as regras de caminho dão suporte a curingas. A partir dessa atualização, você pode configurar as regras de caminho permitidas usando curingas. Há dois cenários compatíveis:
Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta alterado (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pasta gerados automaticamente etc.).
Seis políticas para a reprovação da Segurança de Dados Avançada do SQL
Seis políticas relacionadas à Segurança de Dados Avançada para computadores SQL estão sendo preteridas:
- Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada da Instância Gerenciada de SQL
- Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada do SQL Server
- As configurações da Segurança de Dados Avançada para a instância gerenciada do SQL devem conter um endereço de email para receber alertas de segurança
- As configurações da Segurança de Dados Avançada para o SQL Server devem conter um endereço de email para receber alertas de segurança
- As notificações por email para administradores e proprietários de assinatura devem ser habilitadas nas configurações da Segurança de Dados Avançada da instância gerenciada do SQL
- As notificações por email para os administradores e proprietários de assinaturas devem ser habilitadas nas configurações da Segurança de Dados Avançada do SQL Server
Saiba mais sobre políticas internas.
Junho de 2020
As atualizações de junho incluem:
- API de classificação de segurança (versão prévia)
- segurança de dados Advanced para computadores SQL (Azure, outras nuvens e locais) (versão prévia)
- 2 novas recomendações para implantar o agente Log Analytics em computadores Azure Arc (versão prévia)
- Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala
- Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet
- Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada
API de classificação de segurança (versão prévia)
Agora você pode acessar sua classificação por meio da API de classificação de segurança (atualmente em versão prévia). Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo, você pode usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas.
Para obter exemplos de ferramentas externas possibilitados com a API de pontuação segura, consulte a área de pontuação segura de nossa comunidade GitHub.
Saiba mais sobre segure score and security controls in Central de Segurança do Azure.
Segurança de dados avançada para computadores SQL (Azure, outras nuvens e local) (versão prévia)
A segurança de dados avançada do Central de Segurança do Azure para computadores SQL agora protege os SQL Servers hospedados em Azure, em outros ambientes de nuvem e até mesmo em computadores locais. Isso estende as proteções para seus SQL Servers nativos de Azure para dar suporte total a ambientes híbridos.
A Segurança de Dados Avançada fornece avaliação de vulnerabilidades e Proteção Avançada contra Ameaças para computadores SQL onde quer que estejam.
A configuração envolve duas etapas:
Implantando o agente de Log Analytics no computador host do SQL Server para fornecer a conexão com Azure conta.
Habilitar o pacote opcional na página de preços e configurações da Central de Segurança.
Saiba mais sobre a Segurança de Dados Avançada para computadores SQL.
Duas novas recomendações para implantar o agente Log Analytics em computadores Azure Arc (versão prévia)
Duas novas recomendações foram adicionadas para ajudar a implantar o Log Analytics Agent em seus computadores Azure Arc e garantir que eles estejam protegidos por Central de Segurança do Azure:
- Log Analytics agente deve ser instalado em seus computadores Azure Arc baseados em Windows (versão prévia)
- Log Analytics agente deve ser instalado em seus computadores Azure Arc baseados em Linux (versão prévia)
Essas novas recomendações serão exibidas nos mesmos quatro controles de segurança da recomendação existente (relacionada), O agente de monitoramento deve ser instalado nos computadores: corrigir as configurações de segurança, aplicar o controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de ponto de extremidade.
As recomendações também incluem a funcionalidade de correção rápida para acelerar o processo de implantação.
Saiba mais sobre como Central de Segurança do Azure usa o agente em O que é o agente Log Analytics?.
Saiba mais sobre extensões para computadores Azure Arc.
Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.
Para implantar suas configurações de automação em sua organização, use essas políticas internas de Azure 'DeployIfdNotExist' para criar e configurar a exportação continuada e completo de fluxo de trabalho procedimentos:
As definições de política podem ser encontradas no Azure Policy:
| Goal | Policy | ID da Política |
|---|---|---|
| Exportação contínua para o hub de eventos | Deploy exportar para Os Hubs de Eventos para Central de Segurança do Azure alertas e recomendações | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportação contínua para Log Analytics workspace | Deploy exportar para Log Analytics workspace para Central de Segurança do Azure alertas e recomendações | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automação de fluxo de trabalho para alertas de segurança | Deploy Workflow Automation for Central de Segurança do Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação de fluxo de trabalho para recomendações de segurança | Deploy Workflow Automation for Central de Segurança do Azure recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Introdução aos modelos de automação de fluxo de trabalho .
Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação de fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.
Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet
O controle de segurança "Implementar melhores práticas de segurança" agora inclui a seguinte nova recomendação:
- Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Uma recomendação existente, As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distingue entre as VMs voltadas para a Internet e aquelas não voltadas para a Internet. Para ambas, uma recomendação de alta severidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Essa nova recomendação separa os computadores não voltados para a Internet para reduzir os falsos positivos e evitar alertas de alta severidade desnecessários.
Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada
As novas definições de política abaixo foram adicionadas à iniciativa Padrão ASC e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança de dados avançada dos tipos de recursos relevantes.
As definições de política podem ser encontradas no Azure Policy:
Saiba mais sobre a proteção Threat no Central de Segurança do Azure.
Maio de 2020
As atualizações de maio incluem:
- Regras de supressão de alertas (versão prévia)
- A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral
- Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)
- As recomendações personalizadas foram movidas para um controle de segurança separado
- Adicionada alternância para exibir recomendações em controles ou como uma lista simples
- Controle de segurança expandido "Implementar melhores práticas de segurança"
- Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral
- Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos
Regras de supressão de alertas (versão prévia)
Esse novo recurso (atualmente em versão prévia) ajuda a reduzir a fadiga causada por alertas. Use regras para ocultar automaticamente os alertas que são conhecidos como inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.
Os alertas que corresponderem às regras de supressão habilitadas ainda serão gerados, mas o estado deles será definido como ignorado. Você pode ver o estado no portal do Azure ou, no entanto, acessar os alertas de segurança da Central de Segurança.
As regras de supressão definem os critérios para os quais os alertas devem ser automaticamente ignorados. Normalmente, você usaria uma regra de supressão para:
suprimir alertas que você identificou como falsos positivos
suprimir alertas que estão sendo disparados com frequência demais para serem úteis
Saiba mais sobre primindo alertas da proteção contra ameaças do Central de Segurança do Azure.
A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral
A camada Standard da Central de Segurança agora inclui uma avaliação de vulnerabilidade integrada para máquinas virtuais sem cobrança de nenhum valor adicional. Essa extensão é da plataforma Qualys, mas relata as descobertas dela diretamente para a Central de Segurança. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança.
A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.
Para implantar a solução, use a nova recomendação de segurança:
"Habilitar a solução de avaliação de vulnerabilidades interna nas máquinas virtuais (da plataforma Qualys)"
Saiba mais sobre avaliação de vulnerabilidade integrada da Central de Segurança para máquinas virtuais.
Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)
A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.
Essa atualização traz as seguintes alterações para esse recurso:
A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time".
A recomendação é disparada somente se há portas de gerenciamento abertas.
Saiba mais sobre o recurso de acesso JIT.
As recomendações personalizadas foram movidas para um controle de segurança separado
Um dos controles de segurança introduzidos com a classificação de segurança aprimorada foi "Implementar melhores práticas de segurança". Todas as recomendações personalizadas criadas para suas assinaturas foram colocadas automaticamente nesse controle.
Para facilitar a localização de suas recomendações personalizadas, as movemos para um controle de segurança dedicado, "Recomendações personalizadas". Este controle não tem impacto sobre sua classificação de segurança.
Saiba mais sobre os controles de segurança no Enhanced secure score (versão prévia) em Central de Segurança do Azure.
Adicionada alternância para exibir recomendações em controles ou como uma lista simples
Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controle é um conjunto de recomendações de segurança, com instruções que ajudam a implementar essas recomendações.
Para ver imediatamente como sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança.
Por padrão, suas recomendações são mostradas nos controles de segurança. Nesta atualização em diante, você também pode vê-las como uma lista. Para vê-las como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova alternância 'Agrupar por controles'. A alternância está acima da lista no portal.
Os controles de segurança (e essa alternância) são parte da nova experiência de classificação de segurança. Lembre-se de enviar seus comentários de dentro do portal.
Saiba mais sobre os controles de segurança no Enhanced secure score (versão prévia) em Central de Segurança do Azure.
Controle de segurança expandido "Implementar melhores práticas de segurança"
Um dos controles de segurança introduzidos com a classificação de segurança aprimorada é "Implementar melhores práticas de segurança". Quando uma recomendação está nesse controle, ela não afeta a classificação de segurança.
Com essa atualização, três recomendações foram movidas dos controles nos quais foram originalmente colocadas e transferidas para esse controle de práticas recomendadas. Realizamos esta etapa porque determinamos que o risco dessas três recomendações é menor do que se imaginava inicialmente.
Além disso, duas novas recomendações foram introduzidas e adicionadas a esse controle.
As três recomendações que foram movidas são:
- A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura (originalmente, no controle "Habilitar MFA")
- Contas externas com permissões de leitura devem ser removidas de sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
- Um máximo de três proprietários deve ser designado para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
As duas novas recomendações adicionadas ao controle são:
A extensão de configuraçãoguest deve ser instalada em Windows máquinas virtuais (versão prévia) – Usar Azure Policy Configuração de Convidado fornece visibilidade dentro de máquinas virtuais para configurações de servidor e aplicativo (somente Windows).
Microsoft Defender Exploit Guard deve ser habilitado em seus computadores (versão prévia) - Microsoft Defender Exploit Guard aproveita o agente de configuração de convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows).
Saiba mais sobre Microsoft Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.
Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia).
Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral
As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da classificação de segurança e do painel de padrões de conformidade regulatória. Esse recurso agora está em disponibilidade geral e permite que você estenda a cobertura de avaliação de segurança da sua organização na Central de Segurança.
Crie uma iniciativa personalizada em Azure Policy, adicione políticas a ela e integre-a para Central de Segurança do Azure e visualize-a como recomendações.
Agora também adicionamos a opção para editar os metadados de recomendação personalizados. As opções de metadados incluem severidade, etapas de correção, informações sobre ameaças e muito mais.
Saiba mais sobre como aprimorar as recomendações personalizadas com informações detalhadas.
Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos
Estamos integrando os recursos de detecção de CDA (análise de despejo de falhas) Windows em detecção de ataque sem filtro. A análise de detecção de ataque sem arquivo traz versões aprimoradas dos seguintes alertas de segurança para computadores Windows: Injeção de código descoberta, Módulo de Windows Mascarado Detectado, Código shell descoberto e segmento de código suspeito detectado.
Alguns dos benefícios dessa transição:
Detecção de malware proativa e oportuna: a abordagem da CDA envolvia a espera da ocorrência de uma falha e a posterior execução da análise para encontrar artefatos mal-intencionados. O uso da detecção de ataque sem arquivos introduz a identificação proativa de ameaças na memória enquanto elas estão em execução.
Alertas enriquecidos – Os alertas de segurança da detecção de ataque sem arquivo incluem enriquecimentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.
Agregação de alerta – quando o CDA detectou vários padrões de ataque em um único despejo de falha, ele disparou vários alertas de segurança. A detecção de ataque sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um alerta, eliminando a necessidade de correlacionar vários alertas.
Reduzidos em seu workspace Log Analytics - despejos de falha contendo dados potencialmente confidenciais não serão mais carregados no workspace Log Analytics.
Abril de 2020
As atualizações de abril incluem:
- Os pacotes de conformidade dinâmica agora estão em disponibilidade geral
- recomendações Identity agora incluídas em Central de Segurança do Azure camada gratuita
Os pacotes de conformidade dinâmica agora estão em disponibilidade geral
O painel de conformidade regulatória do Central de Segurança do Azure agora inclui pacotes de conformidade dinâmica (agora em disponibilidade geral) para acompanhar padrões adicionais do setor e regulatórios.
Os pacotes de conformidade dinâmica podem ser adicionados à sua assinatura ou grupo de gerenciamento na página política de segurança da Central de Segurança. Quando você tiver integrado um padrão ou um parâmetro de comparação, o padrão será exibido em seu painel de conformidade regulatória com todos os dados de conformidade associados mapeados como avaliações. Um relatório de resumo para qualquer um dos padrões que foram integrados estará disponível para download.
Agora, você pode adicionar padrões como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official e UK NHS
- PBMM Federal do Canadá
- Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)
Além disso, adicionamos recentemente o Azure Security Benchmark, as diretrizes Azure específicas de Microsoft para as melhores práticas de segurança e conformidade com base em estruturas de conformidade comuns. Outros padrões se tornarão compatíveis com o painel à medida que forem disponibilizados.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Recomendações de identidade agora incluídas em Central de Segurança do Azure camada gratuita
Recomendações de segurança para identidade e acesso na camada gratuita Central de Segurança do Azure agora estão disponíveis em geral. Isso faz parte do esforço para tornar gratuitos os recursos do CSPM (Gerenciamento da situação de segurança na nuvem). Até agora, essas recomendações só estavam disponíveis no tipo de preço Standard.
Exemplos de recomendações de identidade e acesso incluem:
- "A MFA deve ser habilitada em contas com permissões de proprietário em sua assinatura."
- "Um máximo de três proprietários deve ser designado para sua assinatura."
- "As contas preteridas devem ser removidas de sua assinatura."
Se você tiver assinaturas no tipo de preço gratuito, suas classificações de segurança serão afetadas por essa alteração, pois essas assinaturas nunca foram avaliadas quanto à identidade e segurança de acesso.
Março de 2020
As atualizações de março incluem:
- A automação do fluxo de trabalho já está em disponibilidade geral
- Integração de Central de Segurança do Azure com Windows Admin Center
- Protection para Serviço de Kubernetes do Azure
- Experiência Just-In-Time aprimorada
- Duas recomendações de segurança para aplicativos Web preteridas
A automação do fluxo de trabalho já está em disponibilidade geral
O recurso de automação de fluxo de trabalho do Central de Segurança do Azure agora está disponível em geral. Use-o para disparar automaticamente Aplicativos Lógicos em alertas de segurança e recomendações. Além disso, os gatilhos manuais estão disponíveis para alertas e todas as recomendações que têm a opção de correção rápida disponível.
Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga e pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte a automação do fluxo de trabalho.
Saiba mais sobre a criação de Aplicativos Lógicos.
Integração do Central de Segurança do Azure com o Windows Admin Center
Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para o Central de Segurança do Azure. Em seguida, a Central de Segurança se torna seu único painel de vidro para exibir informações de segurança para todos os seus recursos de Windows Admin Center, incluindo servidores locais, máquinas virtuais e cargas de trabalho de PaaS adicionais.
Depois de mover um servidor de Windows Admin Center para Central de Segurança do Azure, você poderá:
- Exiba alertas e recomendações de segurança na extensão da Central de Segurança do Windows Admin Center.
- Exiba a postura de segurança e recupere informações detalhadas adicionais de seus servidores gerenciados Windows Admin Center na Central de Segurança no portal do Azure (ou por meio de uma API).
Saiba mais sobre how to integrate Central de Segurança do Azure with Windows Admin Center.
Proteção para Serviço de Kubernetes do Azure
Central de Segurança do Azure está expandindo seus recursos de segurança de contêiner para proteger AKS (Serviço de Kubernetes do Azure).
A popular plataforma de código aberto Kubernetes foi adotada tão amplamente que ela agora é um padrão do setor para a orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de um aplicativo em contêineres exige experiência para garantir que a infraestrutura seja configurada de modo seguro e constante para possíveis ameaças.
A defesa da Central de Segurança inclui:
- Descoberta e visibilidade – descoberta contínua de instâncias gerenciadas do AKS nas assinaturas registradas na Central de Segurança.
- Recomendações de segurança – recomendações acionáveis para ajudá-lo a cumprir as práticas recomendadas de segurança para o AKS. Essas recomendações estão incluídas na sua classificação de segurança para garantir que elas sejam exibidas como parte da postura de segurança de sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster do serviço do Kubernetes".
- Proteção contra ameaças – por meio da análise contínua da implantação do AKS, a Central de Segurança alerta você sobre ameaças e atividades mal-intencionadas detectadas no nível do host e do cluster do AKS.
Saiba mais sobre Azure integração do Kubernetes Services à Central de Segurança.
Saiba mais sobre os recursos de segurança de contêiner na Central de Segurança.
Experiência Just-In-Time aprimorada
Os recursos, a operação e a interface do usuário das ferramentas just-in-time do Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimorados da seguinte maneira:
- Ajustificação - Ao solicitar acesso a uma VM (máquina virtual) por meio da página just-in-time do portal Azure, um novo campo opcional estará disponível para inserir uma justificativa para a solicitação. As informações inseridas nesse campo podem ser acompanhadas no log de atividades.
- Limpeza automática de regras JIT (Just-In-Time) redundantes – sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura incompatibilidades entre as regras em sua política e as regras no NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determinará a causa e, quando for seguro, removerá as regras internas que não forem mais necessárias. O limpador nunca exclui regras que você criou.
Saiba mais sobre o recurso de acesso JIT.
Duas recomendações de segurança para aplicativos Web preteridas
Duas recomendações de segurança relacionadas a aplicativos Web estão sendo preteridas:
As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas. (Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser fortalecidas)
O acesso aos Serviços de Aplicativos deve ser restrito. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [Versão Prévia])
Essas recomendações não serão mais exibidas na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".
Fevereiro de 2020
Detecção de ataque sem arquivos para Linux (versão prévia)
À medida que os invasores aumentam, empregam métodos mais furtivos para evitar a detecção, Central de Segurança do Azure está estendendo a detecção de ataque sem arquivo para Linux, além de Windows. Ataques sem arquivos exploram vulnerabilidades de software, injetam cargas mal-intencionadas em processos de sistema benignos e ficam ocultos na memória. Estas técnicas:
- minimizam ou eliminam sinais de malware no disco
- reduzem significativamente as chances de detecção por soluções de verificação de malware baseadas em disco
Para combater essa ameaça, Central de Segurança do Azure liberou a detecção de ataque sem arquivo para Windows em outubro de 2018 e agora também estendeu a detecção de ataque sem arquivo no Linux.
Janeiro de 2020
Classificação de segurança aprimorada (versão prévia)
Uma versão aprimorada do recurso de pontuação segura do Central de Segurança do Azure agora está disponível na versão prévia. Nesta versão, várias recomendações são agrupadas em Controles de Segurança que refletem melhor suas superfícies de ataque vulneráveis (por exemplo, restringir o acesso às portas de gerenciamento).
Familiarize-se com as alterações classificação de segurança durante a fase de versão prévia e determine outras correções que o ajudarão a proteger ainda mais seu ambiente.
Saiba mais sobre a classificação de segurança aprimorada (versão prévia).
Novembro de 2019
As atualizações de novembro incluem:
- Threat Protection para Azure Key Vault em regiões da América do Norte (versão prévia)
- Threat Protection for Armazenamento do Azure inclui o Malware Reputation Screening
- Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)
- Correção rápida para recursos em massa disponíveis para o público geral
- Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)
- Padrões adicionais de conformidade regulatória (versão preliminar)
- Threat Protection for Serviço de Kubernetes do Azure (versão prévia)
- Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)
- segurança de dados Advanced para servidores SQL em Máquinas Virtuais do Azure (versão prévia)
- Compatibilidade com políticas personalizadas (versão preliminar)
- Extending Central de Segurança do Azure cobertura com plataforma para a comunidade e parceiros
- Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)
- Emparar servidores locais para a Central de Segurança de Windows Admin Center (versão prévia)
Proteção contra Ameaças para Azure Key Vault em Regiões da América do Norte (versão prévia)
Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicativos de nuvem, oferecendo a capacidade de gerenciar centralmente chaves, segredos, chaves criptográficas e políticas na nuvem. Como Azure Key Vault armazena dados confidenciais e comercialmente críticos, ele requer segurança máxima para os cofres de chaves e os dados armazenados neles.
O suporte da Central de Segurança do Azure à Proteção contra Ameaças para Azure Key Vault fornece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Essa nova camada de proteção permite que os clientes resolvam ameaças contra seus cofres de chaves sem serem especialistas em segurança ou gerenciar sistemas de monitoramento de segurança. O recurso está em versão preliminar pública em regiões da América do Norte.
A Proteção contra Ameaças para Armazenamento do Azure inclui a Triagem de Reputação de Malware
A proteção contra ameaças para Armazenamento do Azure oferece novas detecções alimentadas por Microsoft Inteligência contra Ameaças para detectar uploads de malware para Armazenamento do Azure usando análise de reputação de hash e acesso suspeito de um nó de saída do Tor ativo (um proxy anônimo). Agora você pode exibir malware detectado em contas de armazenamento usando Central de Segurança do Azure.
Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)
As organizações com segurança gerenciada centralmente e TI/operações implementam processos de fluxo de trabalho integrados para impulsionar a ação necessária na organização quando as discrepâncias são descobertas em seus ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis, e a automação pode simplificar muito os processos na organização.
Hoje, estamos introduzindo um novo recurso na Central de Segurança que permite que os clientes criem configurações de automação aproveitando Aplicativos Lógicos do Azure e criem políticas que os dispararão automaticamente com base em descobertas específicas do ASC, como Recomendações ou Alertas. Azure Aplicativo Lógico pode ser configurado para executar qualquer ação personalizada compatível com a vasta comunidade de conectores do Aplicativo Lógico ou usar um dos modelos fornecidos pela Central de Segurança, como enviar um email ou abrir um tíquete do ServiceNow™.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte a automação do fluxo de trabalho.
Para saber mais sobre como criar Aplicativos Lógicos, consulte Aplicativos Lógicos do Azure.
Correção rápida para recursos em massa disponíveis para o público geral
Com as muitas tarefas que um usuário recebe como parte da Classificação de Segurança, a capacidade de corrigir efetivamente os problemas em um grande frota pode se tornar desafiador.
Use a Correção Rápida para corrigir configurações incorretas de segurança, corrigir recomendações em vários recursos e melhorar sua pontuação de segurança.
Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.
A Correção Rápida geralmente está disponível para clientes atuais como parte da página de recomendações da Central de Segurança.
Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)
Central de Segurança do Azure agora pode verificar imagens de contêiner em Registro de Contêiner do Azure em busca de vulnerabilidades.
A verificação de imagem funciona analisando o arquivo de imagem de contêiner e, em seguida, verificando se há alguma vulnerabilidade conhecida (da plataforma Qualys).
A verificação em si é disparada automaticamente ao enviar por push novas imagens de contêiner para Registro de Contêiner do Azure. As vulnerabilidades encontradas surgirão como recomendações da Central de Segurança e serão incluídas na classificação de segurança, com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.
Padrões adicionais de conformidade regulatória (versão preliminar)
O painel de Conformidade Regulatória mostra informações sobre sua postura de conformidade com base nas avaliações da Central de Segurança. O painel mostra como o seu ambiente está em conformidade com os controles e requisitos designados por padrões regulatórios específicos e benchmarks do setor e fornece recomendações prescritivas sobre como lidar com esses requisitos.
O painel de conformidade regulatória até agora tem suporte para quatro padrões internos: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Agora estamos anunciando o lançamento de visualização pública de padrões adicionais suportados: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official junto com o UK NHS. Também estamos lançando uma versão atualizada do Azure CIS 1.1.0, abrangendo mais controles do padrão e aprimorando a extensibilidade.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Proteção contra Ameaças para Serviço de Kubernetes do Azure (versão prévia)
O Kubernetes está se tornando rapidamente o novo padrão para implantar e gerenciar software na nuvem. Poucas pessoas têm ampla experiência com Kubernetes e muitos se concentram apenas em engenharia e administração geral e ignoram o aspecto de segurança. O ambiente Kubernetes precisa ser configurado com cuidado para ser seguro, garantindo que nenhuma das portas da superfície de ataque focadas no contêiner seja deixada aberta é exposta para invasores. A Central de Segurança está expandindo seu suporte no espaço de contêiner para um dos serviços que mais crescem em Azure - AKS (Serviço de Kubernetes do Azure).
Os novos recursos dessa versão preliminar pública incluem:
- Descoberta e visibilidade - descoberta contínua de instâncias do AKS gerenciadas nas assinaturas registradas da Central de Segurança.
- Recomendações de pontuação segura - itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como o “controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço Kubernetes”.
- Detecção de Ameaças – Análise baseada em host e cluster, como "Um contêiner privilegiado detectado".
Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)
Os aplicativos instalados em máquinas virtuais geralmente podem ter vulnerabilidades que poderiam levar a uma violação da máquina virtual. Estamos anunciando que a camada padrão da Central de Segurança inclui avaliação de vulnerabilidade interna para máquinas virtuais sem taxa adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na versão preliminar pública, permitirá que você examine continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresente as descobertas na experiência do portal da Central de Segurança. A Central de Segurança cuida de todas as operações de implantação para que não seja necessário nenhum trabalho extra do usuário. No futuro, planejamos fornecer opções de avaliação de vulnerabilidade para atender às necessidades comerciais exclusivas de nossos clientes.
Conseje mais sobre avaliações de vulnerabilidade para seu Máquinas Virtuais do Azure.
Segurança de dados avançada para servidores SQL no Máquinas Virtuais do Azure (versão prévia)
O suporte do Central de Segurança do Azure para proteção contra ameaças e avaliação de vulnerabilidade para BDs SQL em execução em VMs IaaS agora está em versão prévia.
A avaliação de vulnerabilidade é um serviço fácil de configurar que pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades de banco de dados. Ela fornece visibilidade de sua postura de segurança como parte da classificação de segurança e inclui as etapas para resolver problemas de segurança e aprimorar as fortificações de seu banco de dados.
A Proteção Avançada contra Ameaças detecta atividades anômalas, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seu SQL Server. Monitora continuamente seu banco de dados em busca de atividades suspeitas e fornece alertas de segurança orientados a ações em padrões anormais de acesso de banco de dados. Esses alertas mostram os detalhes da atividade suspeita e as ações recomendadas para investigar e atenuar a ameaça.
Compatibilidade com políticas personalizadas (versão preliminar)
Central de Segurança do Azure agora dá suporte a políticas personalizadas (em versão prévia).
Nossos clientes têm desejado estender a cobertura de avaliações de segurança atuais na Central de Segurança com suas próprias avaliações de segurança com base nas políticas que eles criam em Azure Policy. Com o suporte a políticas personalizadas, isso agora é possível.
As políticas personalizadas agora serão parte da experiência de recomendações da Central de Segurança, da Classificação de Segurança e do painel de padrões de conformidade regulatória. Com o suporte para políticas personalizadas, agora você pode criar uma iniciativa personalizada em Azure Policy, depois adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.
Estendendo a cobertura Central de Segurança do Azure com a plataforma para a comunidade e parceiros
Use a Central de Segurança para receber recomendações não apenas de Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muitas outras integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você exiba suas recomendações de postura de segurança em um único lugar, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações integradas e de parceiros. Você também pode exportar recomendações da Central de Segurança para produtos de parceiros.
Learn mais sobre Associação de Segurança Inteligente da Microsoft.
Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)
Para habilitar cenários de nível empresarial na parte superior da Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto no portal Azure ou na API. Eles podem ser exportados diretamente para um hub de eventos e para Log Analytics workspaces. Aqui estão alguns fluxos de trabalho que você pode criar com base nesses novos recursos:
- Com a exportação para Log Analytics workspace, você pode criar painéis personalizados com Power BI.
- Com a exportação para Os Hubs de Eventos, você poderá exportar alertas e recomendações da Central de Segurança para seus SIEMs de terceiros, para uma solução de terceiros ou Azure Data Explorer.
Integrar servidores locais à Central de Segurança de Windows Admin Center (versão prévia)
Windows Admin Center é um portal de gerenciamento para servidores Windows que não são implantados no Azure oferecendo a eles vários recursos de gerenciamento Azure, como backup e atualizações do sistema. Recentemente, adicionamos uma capacidade de integrar esses servidores não Azure para serem protegidos pelo ASC diretamente da experiência Windows Admin Center.
Os usuários agora podem integrar um servidor WAC para Central de Segurança do Azure e habilitar a exibição de seus alertas e recomendações de segurança diretamente na experiência Windows Admin Center.
Setembro de 2019
As atualizações de setembro incluem:
- Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis
- recomendação de segurança de contêiner Controle usando Azure Policy
Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis
A experiência de gerenciar regras para máquinas virtuais usando controles de aplicativos adaptáveis foi aprimorada. os controles de aplicativo adaptáveis do Central de Segurança do Azure ajudam a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Além de uma melhoria geral no gerenciamento de regras, um novo benefício permite que você controle quais tipos de arquivo serão protegidos quando você adicionar uma nova regra.
Saiba mais sobre controles de aplicativo adaptáveis.
Controlar a recomendação de segurança de contêiner usando Azure Policy
Central de Segurança do Azure recomendação para corrigir vulnerabilidades na segurança do contêiner agora pode ser habilitada ou desabilitada por meio de Azure Policy.
Para exibir as políticas de segurança habilitadas, na Central de Segurança, abra a página Política de Segurança.
Agosto de 2019
As atualizações de agosto incluem:
- Acesso de VM JIT (just-in-time) para Firewall do Azure
- Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)
- Gerenciamento entre locatários
Acesso à VM just-in-time (JIT) para Firewall do Azure
O acesso à VM just-in-time (JIT) para Firewall do Azure agora está disponível em geral. Use-o para proteger seus ambientes protegidos Firewall do Azure além dos ambientes protegidos pelo NSG.
O acesso à VM JIT reduz a exposição a ataques volumetricos de rede fornecendo acesso controlado a VMs somente quando necessário, usando suas regras de NSG e Firewall do Azure.
Quando você habilita o JIT para suas VMs, cria uma política que determina as portas a serem protegidas, por quanto tempo as portas devem permanecer abertas e os endereços IP aprovados de onde essas portas podem ser acessadas. Essa política ajuda você a manter o controle do que os usuários podem fazer quando solicitam acesso.
As solicitações são registradas no Log de Atividades do Azure, para que você possa monitorar e auditar facilmente o acesso. A página just-in-time também ajuda a identificar rapidamente as VMs existentes que têm o JIT habilitado e as VMs em que o JIT é recomendado.
Learn mais sobre Firewall do Azure.
Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)
A pontuação segura é uma ferramenta que ajuda a avaliar sua postura de segurança de carga de trabalho. Ela analisa suas recomendações de segurança e as prioriza para você, para que você saiba quais recomendações devem ser executadas primeiro. Isso ajuda a encontrar as vulnerabilidades de segurança mais sérias para que você possa priorizar a investigação.
Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua classificação de segurança, adicionamos um novo recurso que permite que você corrija uma recomendação em uma grande quantidade de recursos com um único clique.
Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.
Gerenciamento entre locatários
A Central de Segurança agora dá suporte a cenários de gerenciamento entre locatários como parte de Azure Lighthouse. Isso permite que você tenha visibilidade e gerencie a postura de segurança de vários locatários na Central de Segurança.
Saiba mais sobre as experiências de gerenciamento entre locatários.
Julho de 2019
Atualizações das recomendações de rede
Central de Segurança do Azure (ASC) lançou novas recomendações de rede e aprimorou algumas existentes. Agora, o uso da Central de Segurança garante uma proteção de rede ainda maior para seus recursos.
Junho de 2019
Proteção de rede adaptável: em disponibilidade geral
Uma das maiores superfícies de ataque para cargas de trabalho executadas na nuvem pública são as conexões de e para a Internet pública. Nossos clientes têm dificuldade em saber quais regras do NSG (Grupo de Segurança de Rede) devem estar em vigor para garantir que Azure cargas de trabalho estejam disponíveis apenas para os intervalos de origem necessários. Com esse recurso, a Central de Segurança aprende os padrões de tráfego de rede e conectividade de cargas de trabalho Azure e fornece recomendações de regra NSG para máquinas virtuais voltadas para a Internet. Isso ajuda nossos clientes a configurar melhor suas políticas de acesso à rede e limitar sua exposição a ataques.