Recomendações de segurança

  • Aplica-se a: Microsoft Defender Vulnerability Management, Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Servers Plan 1 & 2

Observação

A secção Gestão de Vulnerabilidades no portal Microsoft Defender está agora localizada em Gestão de exposição. Com esta alteração, agora pode consumir e gerir dados de exposição à segurança e dados de vulnerabilidade numa localização unificada, para melhorar as funcionalidades de Gestão de Vulnerabilidades existentes. Saiba mais.

Estas alterações são relevantes para clientes de Pré-visualização (opção de pré-visualização Microsoft Defender XDR + Microsoft Defender para Identidade).

Importante

O modelo de classificação de recomendações foi atualizado com o novo modelo de pontuação de exposição (Pré-visualização). Poderá notar alterações na ordem de prioridade e nos valores de impacto. Este comportamento é esperado durante o período de transição. Saiba mais sobre a nova pontuação de exposição (Pré-visualização).

As fraquezas de cibersegurança identificadas na sua organização são mapeadas para recomendações de segurança acionáveis e priorizadas pelo seu impacto. As recomendações priorizadas ajudam a reduzir o tempo para atenuar ou corrigir vulnerabilidades e impulsionar a conformidade.

Cada recomendação de segurança inclui etapas de correção acionáveis. Para ajudar com o gerenciamento de tarefas, a recomendação também pode ser enviada usando o Microsoft Intune e o Microsoft Endpoint Configuration Manager. Quando o cenário de ameaças muda, a recomendação também muda, pois coleta continuamente informações de seu ambiente.

Dica

Para obter notificações por email sobre novos eventos de vulnerabilidade, veja Configurar notificações por email de vulnerabilidades no Microsoft Defender para Ponto de Extremidade.

Como funciona

Cada dispositivo na organização é classificado com base em três fatores importantes para ajudar os clientes a concentrarem-se nas coisas certas no momento certo.

  • Ameaça: características das vulnerabilidades e exploits nos dispositivos da sua organização e histórico de falhas. Com base nestes fatores, as recomendações de segurança mostram as ligações correspondentes para alertas ativos, campanhas de ameaças em curso e os relatórios de análise de ameaças correspondentes.
  • Probabilidade de violação: a postura de segurança e a resiliência da sua organização contra ameaças.
  • Valor comercial: os recursos, processos críticos e propriedades intelectuais da sua organização.

Observação

Com a nova pontuação de exposição (Pré-visualização), o modelo de classificação também integra os dados de predição de exploração (EPSS) e fatores de contexto de ativos, como status com acesso à Internet e a criticidade dos recursos. Estes fatores adicionais refletem-se nas classificações de impacto da recomendação.

Navegar para a página de recomendações

No portal Microsoft Defender, efetue um dos seguintes procedimentos:

  • Se for um cliente de pré-visualização Microsoft Defender XDR + Microsoft Defender para Identidade, pode ver recomendações numa das seguintes páginas:
    • SelecioneRecomendações de gestão da exposição>.
    • Veja as principais recomendações de segurançana páginaDescrição Geral da Gestão de vulnerabilidades da gestão>> de exposição, em Recomendações de pontos finais principais.
  • Se for um cliente existente, pode ver recomendações numa das seguintes páginas:
    • Aceda a Endpoints>Recomendações de Gestão> devulnerabilidades.
    • Veja as principais recomendações de segurança na páginaDashboardde gestão> de vulnerabilidades em Principais recomendações de segurança.

Principais recomendações de segurança

Observação

Esta secção descreve a experiência Gerenciamento de Vulnerabilidades do Microsoft Defender para os clientes que utilizam a pré-visualização do Microsoft Defender XDR + Microsoft Defender para Identidade. Esta experiência faz parte da integração de Gerenciamento de Vulnerabilidades do Microsoft Defender no Gerenciamento de Exposição da Segurança da Microsoft. Saiba mais.

Enquanto administrador de segurança, pode ver:

O objetivo é reduzir a exposição da sua organização a vulnerabilidades e aumentar a segurança do dispositivo da sua organização para ser mais resiliente contra ataques de ameaças de cibersegurança. A lista de recomendações de segurança superior pode ajudá-lo a alcançar esse objetivo.

Na página Descrição geral , as Recomendações de pontos finais principais listam as oportunidades de melhoria priorizadas com base nos fatores importantes mencionados na secção anterior : ameaça, probabilidade de violação e valor. Selecionar uma recomendação leva-o para a página de recomendações de segurança com mais detalhes.

Visão geral das recomendações de segurança

Na página Recomendações, pode ver as recomendações de segurança da sua organização, o número de pontos fracos encontrados, componentes relacionados, informações sobre ameaças, número de dispositivos expostos, status do dispositivo, tipo de remediação, atividades de remediação e etiquetas associadas. Também pode ver como a classificação de exposição e a Classificação de Segurança dos dispositivos mudam quando as recomendações são implementadas.

Se for um cliente de pré-visualizaçãoMicrosoft Defender XDR + Microsoft Defender para Identidade, estas informações são apresentadas na secção Vulnerabilidades da página Recomendações.

A cor do gráfico Dispositivos expostos muda à medida que a tendência muda. Se o número de dispositivos expostos estiver a aumentar, a cor muda para vermelho. Se existir uma diminuição do número de dispositivos expostos, a cor do gráfico muda para verde.

Observação

A gestão de vulnerabilidades mostra os dispositivos que estavam a ser utilizados nos últimos 30 dias. Isto é diferente do dispositivo status no Defender para Endpoint, em que se um dispositivo tiver Inactive status se não comunicar com o serviço durante mais de sete dias.

Captura de ecrã da dashboard de gestão de vulnerabilidades com recomendações de segurança realçadas.

Ícones

Os ícones úteis também chamam rapidamente a sua atenção para:

  • seta a atingir um alvo de possíveis alertas ativos
  • exploits públicos associados a erros vermelhos
  • informações de recomendação de lâmpadas

Impacto

A coluna de impacto mostra o impacto potencial na classificação de exposição e na Classificação de Segurança para Dispositivos assim que uma recomendação for implementada. Deve atribuir prioridades a itens que reduzam a classificação de exposição e aumentam a Classificação de Segurança para Dispositivos.

  • A redução potencial na classificação de exposição é apresentada como: . Uma classificação de exposição mais baixa significa que os dispositivos são menos vulneráveis à exploração.

  • O aumento previsto para a Classificação de Segurança para Dispositivos é apresentado como: . Uma Classificação de Segurança mais elevada para Dispositivos significa que os pontos finais são mais resilientes a ataques de cibersegurança.

Considerações de impacto

  • Com o novo modelo de pontuação de exposição (Pré-visualização), os valores de impacto apresentados nas recomendações são mais precisos. O novo modelo calcula o impacto por recurso e por vulnerabilidade, pelo que a redução da classificação prevista reflete de perto a redução real que vê após a remediação.

  • O modelo foi concebido para ser mais preciso, mas não é garantido que o movimento da pontuação de exposição seja monotónico. Num recálculo diário, as vulnerabilidades recentemente detetadas podem compensar as reduções da remediação concluída.

  • Esta transição afeta apenas os cálculos da classificação de exposição. Não altera a forma como a Classificação de Segurança da Microsoft para Dispositivos é calculada.

  • Após uma ação de remediação, a nova pontuação de exposição (Pré-visualização) volta a calcular diariamente. Aguarde até 24 horas para que os valores de classificação e impacto atualizados sejam refletidos. Uma vez que a pontuação de exposição representa vários fatores, incluindo novas remediações e vulnerabilidades recentemente detetadas, a redução real da pontuação pode diferir ligeiramente do impacto previsto.

  • Quando aplica exceções de recomendação, a coluna Dispositivos expostos também pode apresentar dados de antes de serem aplicadas exceções, incluindo dispositivos que pertencem a grupos de dispositivos abrangidos por uma exceção ativa baseada no grupo de dispositivos. Para obter mais informações, veja Dispositivos expostos e impacto após exceções.

Explorar as opções de recomendação de segurança

  1. Selecione a recomendação de segurança que pretende investigar ou processar na lista.

    Exemplo de uma página de lista de opções de recomendação de segurança.

  2. Na lista de opções, pode escolher qualquer uma das seguintes opções:

    • Abrir página de software – abra a página de software para obter mais contexto sobre o software e como é distribuído. As informações podem incluir contexto da ameaça, recomendações associadas, pontos fracos descobertos, número de dispositivos expostos, vulnerabilidades descobertas, nomes e detalhes dos dispositivos com o software instalado e distribuição da versão.

    • Opções de remediação – submeta um pedido de remediação para abrir um pedido de suporte no Microsoft Intune para o administrador de TI recolher e endereçar. Acompanhe a atividade de correção na página Correção.

    • Opções de exceção – submeta uma exceção, forneça uma justificação e defina a duração da exceção se ainda não conseguir remediar o problema.

Observação

Quando uma alteração de software é efetuada num dispositivo, normalmente demora 2 horas para que os dados sejam refletidos no portal de segurança. No entanto, às vezes isso pode levar mais tempo. As alterações de configuração podem levar de 4 a 24 horas.

Investigar alterações na exposição ou impacto do dispositivo

Se existir um grande salto no número de dispositivos expostos ou um aumento acentuado do impacto na classificação de exposição da sua organização e na Classificação de Segurança para Dispositivos, essa recomendação de segurança vale a pena investigar.

  1. Selecione uma recomendação e, em seguida, selecione Abrir página de software.

  2. Selecione o separador Linha do tempo de Eventos para ver todos os eventos com impacto relacionados com esse software, tais como novas vulnerabilidades ou novas explorações públicas. Saiba mais sobre linha do tempo de eventos.

  3. Decida como lidar com o aumento ou a exposição da sua organização, como submeter um pedido de remediação.

Dica

Se vir alterações inesperadas nos valores de impacto da recomendação ou na ordem de prioridade, tal pode dever-se à transição para o novo modelo de pontuação de exposição (Pré-visualização). O novo modelo representa fatores adicionais, como explorar os dados de predição e o contexto do recurso. Reveja os valores de impacto atualizados porque agora prevêem com maior precisão a redução real da classificação da remediação.

Recomendações em dispositivos

Para ver a lista de recomendações de segurança que se aplicam a um dispositivo, siga estes passos:

  1. Navegue para o menu de navegação Inventário de dispositivosatravés de Dispositivos> de Recursos e, em seguida, selecione um dispositivo.

  2. Selecione o separador Recomendações de segurança para ver uma lista de recomendações de segurança para o dispositivo.

    Captura de ecrã da página de inventário de certificados

Observação

Se tiver a Microsoft Defender de integração do IoT ativada no Defender para Endpoint, as recomendações para dispositivos IoT Empresariais que aparecem no separador Dispositivos IoT são apresentadas na página de recomendações de segurança. Para obter mais informações, veja Ativar a segurança do Enterprise IoT com o Defender para Endpoint.

Considerações sobre recomendações de configuração de segurança

As recomendações de segurança refletem os dispositivos que correspondem aos critérios de recomendação durante a janela de avaliação de recomendações. A exposição, a configuração e o estado do dispositivo podem mudar ao longo do tempo e as experiências do Defender podem ser atualizadas em alturas diferentes. Como resultado, os dispositivos expostos numa recomendação podem diferir temporariamente dos resultados mais recentes no inventário de dispositivos.

Para obter recomendações baseadas em dados que também estão visíveis no inventário de dispositivos, utilize o inventário de dispositivos para validar a status ao nível do dispositivo mais recente e aplicar os filtros que correspondem ao cenário de recomendação. Por exemplo, quando revê a recomendação Reduzir a exposição desnecessária à Internet de entrada em dispositivos com acesso à Internet , utilize o filtro com acesso à Internet e um filtro de tempo relevante, como Os últimos 30 dias, para alinhar os resultados do inventário de dispositivos de forma mais próxima com o âmbito da recomendação.

Se um dispositivo tiver sido remediado recentemente ou a sua exposição ou configuração tiver sido alterada recentemente, aguarde tempo para que a recomendação reflita o status mais recente.

Solicitar correção

A capacidade de remediação da gestão de vulnerabilidades faz a ponte entre administradores de Segurança e TI através do fluxo de trabalho do pedido de remediação. Os administradores de segurança, como o utilizador, podem pedir ao Administrador de TI para remediar uma vulnerabilidade da página Recomendação de segurança para Intune. Saiba mais sobre as opções de remediação

Como pedir a remediação

  1. Selecione uma recomendação de segurança para a qual gostaria de pedir a remediação e, em seguida, selecione Opções de remediação.

  2. Preencha o formulário e selecione Submeter pedido.

  3. Para ver a status do pedido de remediação, aceda à página Remediação.

Para obter mais informações, veja Saiba mais sobre como pedir a remediação,

Arquivo para exceção

Como alternativa a uma solicitação de correção quando uma recomendação não é relevante no momento, você pode criar exceções para recomendações. Saiba mais sobre as exceções

Apenas os utilizadores com permissões adequadas podem adicionar exceções (veja Microsoft Defender controlo de acesso baseado em funções (RBAC) unificado).

Quando uma exceção é criada para uma recomendação, a recomendação não está mais ativa. O estado da recomendação será alterado para Exceção completa ou Exceção parcial (por grupo de dispositivos).

Observação

Quando aplica exceções de recomendação, a coluna Dispositivos expostos também pode apresentar dados de antes de serem aplicadas exceções, incluindo dispositivos que pertencem a grupos de dispositivos abrangidos por uma exceção ativa baseada no grupo de dispositivos. Para obter mais informações, veja Dispositivos expostos e impacto após exceções.

Como criar uma exceção

  1. Selecione a recomendação de segurança para a qual pretende criar uma exceção e, em seguida, selecione Opções de exceção.

    Mostra onde as opções de exceção estão localizadas numa lista de opções de recomendação de segurança.

  2. Preencha o formulário e submeta.

Para ver todas as exceções, veja Ver todas as exceções.

Para criar exceções, veja Criar uma exceção.

Imprecisão de relatórios

Você pode relatar um falso positivo quando vir qualquer informação de recomendação de segurança incorreta, imprecisa, incompleta ou já corrigida.

  1. No portal Microsoft Defender, abra uma recomendação de segurança.

  2. Selecione os três pontos junto à recomendação de segurança que pretende comunicar e, em seguida, selecione Relatório em imprecisão.

  3. No painel de lista de opções, selecione a categoria de imprecisão no menu pendente, preencha o seu endereço de e-mail e os detalhes sobre a imprecisão.

  4. Selecione Enviar. Os seus comentários são imediatamente enviados aos especialistas em gestão de vulnerabilidades.

Conteúdo relacionado

  • Last updated on