Compartilhar via


Revisar as recomendações de segurança

No Microsoft Defender para Nuvem, recursos e cargas de trabalho são avaliados em relação aos padrões de segurança internos e personalizados habilitados em suas assinaturas do Azure, contas do Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP). Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para corrigir problemas de segurança e melhorar a postura de segurança.

O Defender para Nuvem usa proativamente um mecanismo dinâmico que avalia os riscos em seu ambiente, considerando o potencial de exploração e o potencial impacto comercial em sua organização. O mecanismo prioriza as recomendações de segurança com base nos fatores de risco de cada recurso. O contexto do ambiente determina esses fatores de risco. Esse contexto inclui a configuração do recurso, as conexões de rede e a postura de segurança.

Pré-requisitos

Observação

As recomendações são incluídas por padrão com o Defender para Nuvem, mas você não pode ver a priorização de risco sem o Defender CSPM habilitado em seu ambiente.

Examinar a página de recomendações

Examine todos os detalhes relacionados a uma recomendação antes de tentar entender o processo necessário para resolver a recomendação. Verifique se todos os detalhes da recomendação estão corretos antes de resolver a recomendação.

Para examinar os detalhes de uma recomendação:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Recomendações.

  3. Selecione uma recomendação.

  4. Na página de recomendação, examine os seguintes detalhes:

    • Nível de risco – a vulnerabilidade e o efeito empresarial da questão de segurança subjacente, considerando o contexto de recursos ambientais, como exposição à Internet, dados confidenciais, movimentação lateral e muito mais.
    • Fatores de risco – fatores ambientais do recurso afetado pela recomendação, que influenciam a vulnerabilidade e o efeito empresarial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados confidenciais e potencial de movimentação lateral.
    • Recurso – o nome do recurso afetado.
    • Status - o status da recomendação, como não atribuído, no prazo ou vencido.
    • Descrição – uma breve descrição do problema de segurança.
    • Caminhos de ataque – o número de caminhos de ataque.
    • Escopo - a assinatura ou o recurso afetado.
    • Atualidade - o intervalo de atualização da recomendação.
    • Data da última alteração – a data em que essa recomendação foi alterada pela última vez.
    • Gravidade – a gravidade da recomendação (Alta, Média ou Baixa). Mais detalhes são fornecidos.
    • Proprietário – A pessoa atribuída à recomendação.
    • Data de conclusão – a data de conclusão atribuída para resolver a recomendação.
    • Táticas e técnicas - as táticas e técnicas mapeadas para MITRE ATT&CK.

Explorar uma recomendação

Você pode executar várias ações para interagir com recomendações. Se uma opção não estiver disponível, ela não será relevante para a recomendação.

Para explorar uma recomendação:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Recomendações.

  3. Selecione uma recomendação.

  4. Na recomendação, você pode executar estas ações:

    • Selecione Abrir consulta para exibir informações detalhadas sobre os recursos afetados com uma consulta do Azure Resource Graph Explorer.

    • Selecione Exibir definição de política para exibir a entrada do Azure Policy para a recomendação subjacente, se relevante.

    • Selecione Visualizar recomendação para todos os recursos para exibir todos os recursos afetados pela recomendação.

  5. Em Executar ação:

    • Correção: uma descrição das etapas manuais necessárias para resolver o problema de segurança nos recursos afetados. Para recomendações com a opção Correção , você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.

    • Proprietário da recomendação e data de conclusão definida: se você tiver uma regra de governança habilitada para a recomendação, poderá atribuir um proprietário e uma data de conclusão.

    • Isentar: você pode isentar recursos da recomendação ou desabilitar descobertas específicas usando regras de desabilitação.

    • Automação de fluxo de trabalho: defina um aplicativo lógico para disparar com a recomendação.

    Captura de tela que mostra o que você pode ver na recomendação ao selecionar a guia executar a ação.

  6. Em Descobertas, você pode revisar as detecções associadas por gravidade.

    Captura de tela da aba 'descobertas' em uma recomendação que mostra todos os caminhos de ataque daquela recomendação.

  7. No Graph, você pode exibir e investigar todo o contexto usado para priorização de risco, incluindo caminhos de ataque. Você pode selecionar um nó em um caminho de ataque para exibir os detalhes do nó selecionado.

    Captura de tela da guia de gráfico em uma recomendação mostrando todos os caminhos de ataque para essa recomendação.

  8. Exiba mais detalhes selecionando um nó.

    Captura de tela de um nó localizado na guia de grafo que está selecionado e mostrando os detalhes adicionais.

  9. Selecione Insights.

  10. No menu suspenso de vulnerabilidades, selecione uma vulnerabilidade para exibir os detalhes.

    Captura de tela da guia de insights para um nó específico.

  11. (Opcional) Selecione Abrir a página de vulnerabilidade para exibir a página de recomendação associada.

  12. Corrija a recomendação.

Recomendações de grupo por título

A página de recomendação do Defender para Nuvem permite agrupar recomendações por título. Esse recurso é útil quando você deseja corrigir uma recomendação que afeta vários recursos devido a um problema de segurança específico.

Para agrupar recomendações por título:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Recomendações.

  3. Selecione Grupo por título.

    Captura de tela da página de recomendações que mostra onde o alternador de agrupar por título está localizado na tela.

Gerenciar recomendações atribuídas a você

Defender for Cloud dá suporte a regras de governança para recomendações, para atribuir um responsável pela recomendação ou uma data de vencimento para a ação. As regras de governança ajudam a garantir a responsabilidade e um SLA para recomendações.

  • As recomendações são listadas como No prazo até a data de conclusão, quando são alteradas para Vencido.
  • Antes que a recomendação esteja vencida, ela não afetará a classificação de segurança.
  • Você também pode aplicar um período de carência durante o qual as recomendações vencidas não afetam a pontuação de segurança.

Saiba mais sobre como configurar regras de governança.

Para gerenciar as recomendações atribuídas a você:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Recomendações.

  3. Selecione Adicionar filtro>Proprietário.

  4. Selecione sua entrada de usuário.

  5. Selecione Aplicar.

  6. Nos resultados da recomendação, examine as recomendações, incluindo recursos afetados, fatores de risco, caminhos de ataque, datas de conclusão e status.

  7. Selecione uma recomendação para revisá-la ainda mais.

  8. Em Executar ação>Alterar proprietário &data de conclusão, selecione Editar atribuição para alterar o proprietário da recomendação e a data de conclusão, se necessário.     - Por padrão, o proprietário do recurso recebe um email semanal listando as recomendações atribuídas a eles.     - Se você selecionar uma nova data de correção, especifique os motivos para correção até essa data na Justificativa.     - Em Definir notificações por email, você pode: - Substituir o email semanal padrão para o proprietário.         - Notifique os proprietários semanalmente com uma lista de tarefas abertas/vencidas.         - Notifique o gerente direto do proprietário com uma lista de tarefas abertas.

  9. Selecione Salvar.

Observação

Alterar a data de conclusão esperada não altera a data de conclusão da recomendação, mas os parceiros de segurança podem ver que você planeja atualizar os recursos até a data especificada.

Revisar as recomendações no Azure Resource Graph

Você pode usar o Azure Resource Graph para escrever uma Kusto Query Language (KQL) para consultar dados de postura de segurança do Defender para Nuvem em várias assinaturas. O Azure Resource Graph fornece uma maneira eficiente de consultar em escala em ambientes de nuvem exibindo, filtrando, agrupando e classificando dados.

Para examinar as recomendações no Azure Resource Graph:

  1. Entre no portal do Azure.

  2. Acesse Defender para Nuvem>Recomendações.

  3. Selecione uma recomendação.

  4. Selecione Abrir consulta.

  5. Você pode abrir a consulta de duas maneiras:

    • Consulta que retorna o recurso afetado – retorna uma lista de todos os recursos afetados por essa recomendação.
    • Consulta retornando descobertas de segurança – retorna uma lista de todos os problemas de segurança encontrados pela recomendação.
  6. Selecione executar consulta.

    Captura de tela do Azure Resource Graph Explorer mostrando os resultados da recomendação mostrada na captura de tela anterior.

  7. Revise os resultados.

Como as recomendações são classificadas?

Todas as recomendações de segurança do Defender para Nuvem recebem uma das três classificações de gravidade:

  • Alta gravidade: resolva essas recomendações imediatamente, pois elas indicam uma vulnerabilidade de segurança crítica que um invasor pode explorar para obter acesso não autorizado aos seus sistemas ou dados. Exemplos de recomendações de alta gravidade incluem segredos não protegidos em um computador, regras de NSG de entrada excessivamente permissivas, clusters que permitem a implantação de imagens de registros não confiáveis e acesso público irrestrito a contas de armazenamento ou bancos de dados.

  • Gravidade média: essas recomendações indicam um risco potencial de segurança que deve ser resolvido em tempo hábil, mas pode não exigir atenção imediata. Exemplos de recomendações de gravidade média incluem contêineres que compartilham namespaces de host confidenciais, aplicativos Web que não usam identidades gerenciadas, computadores Linux que não exigem chaves SSH durante a autenticação e credenciais não utilizadas deixadas no sistema após 90 dias de inatividade.

  • Baixa gravidade: essas recomendações indicam um problema de segurança relativamente pequeno que pode ser resolvido à sua conveniência. Exemplos de recomendações de baixa gravidade incluem a necessidade de desabilitar a autenticação local em favor do Microsoft Entra ID, problemas de funcionamento com sua solução de proteção de ponto de extremidade, práticas recomendadas que não estão sendo seguidas em grupos de segurança de rede, ou configurações de log incorretas que podem dificultar a detecção e resposta a incidentes de segurança.

As opiniões internas de uma organização podem ser diferentes da classificação da Microsoft a respeito de uma recomendação específica. Portanto, é sempre uma boa ideia examinar cada recomendação com cuidado e considerar seu potencial efeito em sua postura de segurança antes de decidir como resolvê-la.

Observação

Os clientes do Defender CSPM têm acesso a um sistema de classificação mais avançado, em que as recomendações são mostradas como um nível de risco mais dinâmico que utiliza o contexto do recurso e todos os recursos relacionados. Saiba mais sobre a priorização de risco.

Exemplo

Neste exemplo, esta página de detalhes da recomendação mostra 15 recursos afetados:

Captura de tela do botão Abrir Consulta na página de detalhes da recomendação.

Quando você abre a consulta subjacente e a executa, o Azure Resource Graph Explorer retorna os mesmos recursos afetados para essa recomendação.

Próxima etapa