Políticas de segurança no Defender para Nuvem

As políticas de segurança no Microsoft Defender para Nuvem consistem em padrões de segurança e recomendações que ajudam a melhorar sua postura de segurança na nuvem.

Os padrões de segurança definem regras, condições de conformidade para essas regras e ações (efeitos) a serem tomadas se as condições não forem atendidas. O Defender para Nuvem avalia recursos e cargas de trabalho em relação aos padrões de segurança habilitados em suas assinaturas do Azure, contas do Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP). Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para ajudar você a corrigir problemas de segurança.

Padrões de segurança

Os padrões de segurança no Defender para Nuvem vêm destas fontes:

  • MCSB (Microsoft Cloud Security Benchmark): o MCSB é aplicado por padrão quando você integra o Defender para Nuvem a um grupo de gerenciamento ou assinatura. Sua classificação de segurança baseia-se na avaliação em relação a algumas recomendações do MCSB.

  • Padrões de conformidade regulatória: quando você habilita um ou mais planos do Defender para Nuvem, pode adicionar padrões de uma ampla gama de programas de conformidade regulatória predefinidos.

  • Padrões personalizados: você pode criar padrões de segurança personalizados no Defender para Nuvem e adicionar recomendações internas e personalizadas a eles conforme necessário.

Os padrões de segurança no Defender para Nuvem são baseados nas iniciativas do Azure Policy ou na plataforma nativa do Defender para Nuvem. Atualmente, os padrões do Azure são baseados no Azure Policy. Os padrões da AWS e do GCP são baseados no Defender para Nuvem.

Os padrões de segurança no Defender para Nuvem simplificam a complexidade do Azure Policy. Na maioria dos casos, você pode trabalhar diretamente com padrões de segurança e recomendações no portal do Defender para Nuvem, sem precisar configurar diretamente o Azure Policy.

Trabalhar com padrões de segurança

Veja o que você pode fazer com os padrões de segurança no Defender para Nuvem:

  • Modificar o MCSB interno para a assinatura: ao habilitar o Defender para Nuvem, o MCSB é atribuído automaticamente a todas as assinaturas registradas do Defender para Nuvem.

  • Adicionar padrões de conformidade regulatória: se você tiver um ou mais planos pagos habilitados, poderá atribuir padrões de conformidade internos utilizados para avaliar seus recursos do Azure, AWS e GCP. Saiba mais sobre como atribuir padrões regulatórios.

  • Adicionar padrões personalizados: se você tiver pelo menos um plano pago do Defender habilitado, poderá definir novos padrões do Azure ou AWS/GCP no portal do Defender para Nuvem. Em seguida, você pode adicionar recomendações a esses padrões.

Trabalhando com padrões personalizados

Os padrões personalizados são exibidos juntamente com padrões internos no painel Conformidade regulatória.

Recomendações derivadas de avaliações em relação a padrões personalizados aparecem junto com recomendações de padrões internos. Os padrões personalizados podem conter recomendações internas e personalizadas.

Recomendações de segurança

O Defender para Nuvem analisa periodicamente e continuamente, bem como avalia o estado de segurança dos recursos protegidos em relação aos padrões de segurança definidos, para identificar possíveis falhas de configuração e fraquezas de segurança. Em seguida, o Defender para Nuvem fornece recomendações com base nas descobertas da avaliação.

Cada recomendação fornece as seguintes informações:

  • Uma descrição breve do problema
  • Etapas de correção para implementar a recomendação
  • Recursos afetados
  • Nível de risco
  • Fatores de risco
  • Caminhos de ataque

Cada recomendação no Defender para Nuvem tem um nível de risco associado que representa o quão explorável e impactante é o problema de segurança em seu ambiente. O mecanismo de avaliação de risco leva em conta fatores como exposição à Internet, confidencialidade dos dados, possibilidades de movimentação lateral e correção de caminhos de ataque. Você pode priorizar recomendações com base em seus níveis de risco.

Observação

Atualmente, a priorização de risco está em versão prévia pública e, portanto, não afeta a pontuação de segurança.

Exemplo

O padrão MCSB é uma iniciativa do Azure Policy que inclui vários controles de conformidade. Um desses controles é "As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual".

À medida que o Defender para Nuvem avalia e localiza continuamente os recursos que não atendem a esse controle, ele marca os recursos como não compatíveis e dispara uma recomendação. Nesse caso, a orientação é proteger as contas de Armazenamento do Azure que não estão protegidas com regras de rede virtual.

Recomendações personalizadas

Todos os clientes com assinaturas do Azure podem criar recomendações personalizadas com base no Azure Policy. Com o Azure Policy, você cria uma definição de política, a atribui a uma iniciativa de política e mescla essa iniciativa e política no Defender para Nuvem.

Recomendações personalizadas com base na KQL (Linguagem de Consulta Kusto) estão disponíveis para todas as nuvens, mas exigem a habilitação do plano do CSPM do Defender. Com essas recomendações personalizadas, você especifica um nome exclusivo, uma descrição, etapas para correção, gravidade e a quais padrões a recomendação deve ser atribuída. Adicione lógica de recomendação com KQL. Um editor de consultas fornece um modelo de consulta interno que pode ser ajustado conforme necessário, ou você pode escrever sua consulta KQL do zero.

Para obter mais informações, consulte Criar padrões e recomendações de segurança personalizados no Microsoft Defender para Nuvem.

Próximas etapas