Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Gerenciamento de Exposição da Segurança da Microsoft mantém os seus recursos críticos para a empresa seguros e disponíveis. Os recursos críticos ajudam a equipa do SOC a priorizar os esforços para maximizar o impacto na melhoria da postura de segurança da organização. Este artigo descreve os classificadores de ativos críticos incorporados fornecidos por predefinição, que são atualizados automaticamente pelas equipas de Investigação de Segurança da Microsoft.
Pode rever e classificar recursos críticos, ativando-os e desativando-os conforme necessário.
Para sugerir novas classificações de recursos críticos, utilize o botão Feedback .
Os tipos de recursos atuais são:
Observação
A lógica de classificação inicial do recurso crítico classifica os seus recursos com base no comportamento dos recursos acumulado a partir de cargas de trabalho Microsoft Defender e integrações de terceiros configuradas no seu ambiente.
Dispositivo
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Microsoft Entra ID Connect | Dispositivo | Alto | O servidor Microsoft Entra ID Connect é responsável pela sincronização de dados de diretórios no local e palavras-passe com o inquilino Microsoft Entra ID. O compromisso pode interromper a sincronização de identidade, o que leva a problemas de autenticação e potenciais falhas de segurança. |
| ADCS | Dispositivo | Alto | O servidor ADCS permite que os administradores implementem totalmente uma infraestrutura de chaves públicas (PKI) e emitam certificados digitais para proteger vários recursos de rede. O compromisso pode minar a encriptação SSL, a autenticação do utilizador e o e-mail seguro, o que leva a vulnerabilidades de segurança significativas. |
| ADFS | Dispositivo | Alto | O servidor ADFS fornece aos utilizadores acesso de início de sessão único a sistemas e aplicações através dos limites organizacionais. Utiliza um modelo de autorização de controlo de acesso baseado em afirmações para manter a segurança da aplicação e implementar a identidade federada. O compromisso pode levar a acessos não autorizados e violações de dados. |
| Backup | Dispositivo | Médio | O servidor de Cópia de Segurança é responsável por salvaguardar os dados através de cópias de segurança regulares, garantindo a proteção de dados e a preparação para a recuperação após desastre. O compromisso pode resultar na perda de dados e dificultar os esforços de recuperação após desastre, afetando a continuidade do negócio. |
| Dispositivo Administração de Domínio | Dispositivo | Alto | Os dispositivos de administrador de domínio são frequentemente utilizados por administradores de domínio e, provavelmente, armazenam ficheiros, documentos e credenciais relacionados. O compromisso pode levar a um acesso não autorizado a ferramentas administrativas e informações confidenciais. Detetado com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| Controlador de Domínio | Dispositivo | Muito Alto | O servidor do controlador de domínio é responsável pela autenticação, autorização e gestão centralizada de recursos de rede num domínio do Active Directory. |
| DNS | Dispositivo | Baixo | O servidor DNS é essencial para resolver nomes de domínio para endereços IP, permitindo a comunicação de rede e o acesso aos recursos tanto interna como externamente. O compromisso pode interromper a comunicação de rede e o acesso aos recursos. |
| Exchange | Dispositivo | Médio | O servidor Exchange é responsável por todo o tráfego de correio na organização. Dependendo da configuração e arquitetura, cada servidor pode conter várias bases de dados de correio que armazenam informações organizacionais altamente confidenciais. O compromisso pode levar a um acesso não autorizado a informações confidenciais e a interrupção dos serviços de correio. |
| Dispositivo Administração de TI | Dispositivo | Médio | Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos dentro da organização são vitais para a administração de TI e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. O compromisso pode levar a um acesso não autorizado a ferramentas administrativas e informações confidenciais. Detetado por vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| Dispositivo Administração operações de segurança | Dispositivo | Alto | Os dispositivos críticos utilizados para configurar, gerir e monitorizar a segurança numa organização são vitais para a administração de operações de segurança e estão em risco elevado de ameaças cibernéticas. Exigem medidas de segurança de nível superior para impedir o acesso não autorizado. O compromisso pode levar a um acesso não autorizado a ferramentas de segurança e informações confidenciais. Detetado por vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| Dispositivo de Administração de Rede | Dispositivo | Médio | Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos de rede na organização são vitais para a administração da rede e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. O compromisso pode levar a um acesso não autorizado a ferramentas de rede e informações confidenciais. Detetado por vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| VMware ESXi | Dispositivo | Alto | O hipervisor VMware ESXi é essencial para executar e gerir máquinas virtuais na sua infraestrutura. Como hipervisor bare-metal, fornece a base para criar e gerir recursos virtuais. O compromisso pode interromper a operação e a gestão de máquinas virtuais. |
| VMware vCenter | Dispositivo | Alto | O VMware vCenter Server é crucial para a gestão de ambientes virtuais. Fornece gestão centralizada de máquinas virtuais e anfitriões ESXi. Se falhar, poderá interromper a administração e o controlo da infraestrutura virtual, incluindo o aprovisionamento, a migração, o balanceamento de carga das máquinas virtuais e a automatização do datacenter. No entanto, como muitas vezes existem servidores vCenter redundantes e configurações de Elevada Disponibilidade, a paragem imediata de todas as operações pode não ocorrer. A falha pode ainda causar inconvenientes significativos e potenciais problemas de desempenho. |
| Hyper-V Server | Dispositivo | Alto | O hipervisor Hyper-V é essencial para executar e gerir máquinas virtuais na sua infraestrutura, que servem de plataforma principal para a sua criação e gestão. Se o anfitrião Hyper-V falhar, pode levar à indisponibilidade das máquinas virtuais alojadas, causando potencialmente tempo de inatividade e perturbando as operações empresariais. Além disso, pode resultar numa degradação significativa do desempenho e desafios operacionais. Assim, garantir a fiabilidade e a estabilidade dos anfitriões Hyper-V é fundamental para manter operações totalmente integradas num ambiente virtual. |
Identidade
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Identidade com Função Privilegiada | Identidade | Alto | As seguintes identidades (Utilizador, Grupo, Principal de Serviço ou Identidade Gerida) têm uma função RBAC do Azure privilegiada ou incorporada atribuída, no âmbito da subscrição, que contém um recurso crítico. A função pode incluir permissões para atribuições de funções do Azure, modificar políticas do Azure, executar scripts numa VM com o comando Executar, ler o acesso a contas de armazenamento e keyvaults, etc. |
| Administrador de Aplicativos | Identidade | Muito Alto | As identidades nesta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e definições de proxy de aplicações. |
| Desenvolvedor de Aplicativo | Identidade | Alto | As identidades nesta função podem criar registos de aplicações independentemente da definição "Os utilizadores podem registar aplicações". |
| Administrador de Autenticação | Identidade | Muito Alto | As identidades nesta função podem definir e repor métodos de autenticação (incluindo palavras-passe) para utilizadores não administradores. |
| Operadores de backup | Identidade | Muito Alto | As identidades nesta função podem criar cópias de segurança e restaurar todos os ficheiros num computador, independentemente das permissões que protegem esses ficheiros. Os operadores de cópia de segurança também podem iniciar sessão e encerrar o computador e podem realizar operações de cópia de segurança e restauro em controladores de domínio. |
| Operadores de Servidor | Identidade | Muito Alto | As identidades nesta função podem administrar controladores de domínio. Os membros do grupo Operadores de servidor podem efetuar as seguintes ações: iniciar sessão num servidor interativamente, criar e eliminar recursos partilhados de rede, iniciar e parar serviços, fazer cópias de segurança e restaurar ficheiros, formatar a unidade de disco rígido do computador e encerrar o computador. |
| Administrador do Conjunto de Chaves IEF B2C | Identidade | Alto | As identidades nesta função podem gerir segredos para federação e encriptação no Identity Experience Framework (IEF). |
| Administrador de Aplicativos de Nuvem | Identidade | Muito Alto | As identidades nesta função podem criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações. |
| Administrador de Dispositivos na Cloud | Identidade | Alto | As identidades nesta função têm acesso limitado para gerir dispositivos no Microsoft Entra ID. Podem ativar, desativar e eliminar dispositivos no Microsoft Entra ID e ler Windows 10 chaves BitLocker (se estiverem presentes) no portal do Azure. |
| Administrador de Acesso Condicional | Identidade | Alto | As identidades nesta função têm a capacidade de gerir Microsoft Entra definições de Acesso Condicional. |
| Contas de Sincronização de Diretórios | Identidade | Muito Alto | As identidades nesta função têm a capacidade de gerir todas as definições de sincronização de diretórios. Só deve ser utilizado pelo serviço Microsoft Entra Connect. |
| Escritores de diretório | Identidade | Alto | As identidades nesta função podem ler e escrever informações básicas do diretório. Para conceder acesso a aplicações não destinadas a utilizadores. |
| Administrador do Domínio | Identidade | Muito Alto | As identidades nesta função estão autorizadas a administrar o domínio. Por predefinição, o grupo Admins do Domínio é membro do grupo Administradores em todos os computadores que tenham aderido a um domínio, incluindo os controladores de domínio. |
| Administrador Corporativo | Identidade | Muito Alto | As identidades nesta função têm acesso total à configuração de todos os controladores de domínio. Os membros deste grupo podem modificar a associação de todos os grupos administrativos. |
| Administrador Global | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos de Microsoft Entra ID e serviços Microsoft que utilizam identidades Microsoft Entra. |
| Leitor Global | Identidade | Alto | As identidades nesta função podem ler tudo o que um Administrador Global pode, mas não atualizar nada. |
| Administrador da Assistência Técnica | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Suporte Técnico. |
| Administrador de Identidade Híbrida | Identidade | Muito Alto | As identidades nesta função podem gerir o Active Directory para Microsoft Entra aprovisionamento na cloud, Microsoft Entra Connect, Autenticação Pass-through (PTA), Sincronização do hash de palavras-passe (PHS), início de sessão único totalmente integrado (SSO Totalmente Integrado) e definições de federação. |
| Administrador do Intune | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos do produto Intune. |
| Suporte de nível1 do parceiro | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para utilizadores não administradores, atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral. |
| Suporte de nível2 do parceiro | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para todos os utilizadores (incluindo Administradores Globais), atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral. |
| Administrador de Palavras-passe | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Palavra-passe. |
| Administrador de Autenticação Privilegiada | Identidade | Muito Alto | As identidades nesta função podem ver, definir e repor informações do método de autenticação para qualquer utilizador (administrador ou não administrador). |
| Administrador de Função Privilegiada | Identidade | Muito Alto | As identidades nesta função podem gerir atribuições de funções no Microsoft Entra ID e todos os aspetos da Privileged Identity Management. |
| Operações de Segurança Administração Utilizador | Identidade | Alto | As identidades nesta função podem configurar, gerir, monitorizar e responder a ameaças na organização. Nota: esta lógica de regra baseia-se na classificação de dispositivo crítica predefinida "Operações de Segurança Administração Dispositivo". |
| Administrador de Segurança | Identidade | Alto | As identidades nesta função podem ler informações e relatórios de segurança e gerir a configuração em Microsoft Entra ID e Office 365. |
| Operador de Segurança | Identidade | Alto | As identidades nesta função podem criar e gerir eventos de segurança. |
| Leitor de Segurança | Identidade | Alto | As identidades nesta função podem ler informações e relatórios de segurança em Microsoft Entra ID e Office 365. |
| Administrador do usuário | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. |
| Administrador do Exchange | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do produto Exchange. |
| Administrador do SharePoint | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do serviço SharePoint. |
| Administrador de Conformidade | Identidade | Alto | As identidades nesta função podem ler e gerir configurações e relatórios de conformidade no Microsoft Entra ID e no Microsoft 365. |
| Administrador de Grupos | Identidade | Alto | As identidades nesta função podem criar/gerir grupos e definições de grupo, como políticas de nomenclatura e expiração, e ver relatórios de auditoria e atividade de grupo. |
| Administrador do Fornecedor de Identidade Externo | Identidade | Muito Alto | As identidades nesta função podem configurar fornecedores de identidade para utilização na federação direta. Isto significa que têm autoridade para configurar e gerir ligações entre os sistemas de identidade da sua organização e os fornecedores de identidade externos. O comprometimento desta função pode levar a alterações de configuração não autorizadas, afetando a gestão de acesso e identidade federada. Tal pode resultar num acesso não autorizado a sistemas e dados confidenciais, o que representa um risco grave para a segurança e as operações da organização. |
| Administrador de Nomes de Domínio | Identidade | Muito Alto | As identidades nesta função podem gerir nomes de domínio em ambientes na cloud e no local. Os nomes de domínio são cruciais para a comunicação de rede e o acesso a recursos. O comprometimento desta função pode resultar em alterações de nome de domínio não autorizadas, o que leva a interrupções na comunicação de rede, à má gestão do tráfego e à potencial exposição a ataques de phishing. Isto pode afetar seriamente a capacidade da organização de operar e comunicar eficazmente. |
| Administrador do Gerenciamento de Permissões | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos do Gerenciamento de Permissões do Microsoft Entra (EPM). Isto inclui definir e modificar permissões para utilizadores e recursos dentro da organização. O compromisso desta função pode levar a alterações não autorizadas na gestão de permissões, afetando o controlo de acesso e as políticas de segurança. Isto pode resultar num acesso não autorizado a dados e sistemas confidenciais, o que representa um risco significativo para a segurança e integridade operacional da organização. |
| Administrador de Cobrança | Identidade | Alto | As identidades nesta função podem realizar tarefas comuns relacionadas com a faturação, como atualizar informações de pagamento. |
| Administrador de Licenças | Identidade | Alto | As identidades nesta função podem gerir licenças de produtos para utilizadores e grupos. |
| Administrador do Teams | Identidade | Alto | As identidades nesta função podem gerir o serviço Microsoft Teams. |
| Administrador do Fluxo de Utilizador ID externa | Identidade | Alto | As identidades nesta função podem criar e gerir todos os aspetos dos fluxos de utilizador. |
| ID externa Administrador de Atributos do Fluxo de Utilizador | Identidade | Alto | As identidades nesta função podem criar e gerir o esquema de atributos disponível para todos os fluxos de utilizador. |
| Administrador de Políticas do IEF B2C | Identidade | Alto | As identidades nesta função podem criar e gerir políticas de arquitetura de confiança no Identity Experience Framework (IEF). |
| Administrador de Dados de Conformidade | Identidade | Alto | As identidades nesta função podem criar e gerir conteúdos de conformidade. |
| Administrador de Políticas de Autenticação | Identidade | Alto | As identidades nesta função podem criar e gerir a política de métodos de autenticação, as definições de MFA ao nível do inquilino, a política de proteção de palavras-passe e as credenciais verificáveis. |
| Administrador de Conhecimento | Identidade | Alto | As identidades nesta função podem configurar conhecimentos, aprendizagem e outras funcionalidades inteligentes. |
| Gerente de Conhecimento | Identidade | Alto | As identidades nesta função podem organizar, criar, gerir e promover tópicos e conhecimentos. |
| Administrador de Definição de Atributos | Identidade | Alto | As identidades nesta função podem definir e gerir a definição de atributos de segurança personalizados. |
| Administrador de Atribuição de Atributos | Identidade | Alto | As identidades nesta função podem atribuir chaves e valores de atributos de segurança personalizados a objetos de Microsoft Entra suportados. |
| Administrador de Governação de Identidades | Identidade | Alto | As identidades nesta função podem gerir o acesso com Microsoft Entra ID para cenários de governação de identidades. |
| Administrador Cloud App Security | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do produto Defender para Aplicativos de Nuvem. |
| Administrador do Windows 365 | Identidade | Alto | As identidades nesta função podem aprovisionar e gerir todos os aspetos dos PCs na Cloud. |
| Administrador do Yammer | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do serviço Yammer. |
| Administrador de Extensibilidade de Autenticação | Identidade | Alto | As identidades nesta função podem personalizar as experiências de início de sessão e inscrição para os utilizadores ao criar e gerir extensões de autenticação personalizadas. |
| Administrador de Fluxos de Trabalho do Ciclo de Vida | Identidade | Alto | As identidades nesta função criam e gerem todos os aspetos dos fluxos de trabalho e tarefas associados aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID. |
| Executivo Sénior (Tecnologia) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos seniores na área da Tecnologia. |
| Executivo Sénior (Finanças) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos seniores na área das Finanças. |
| Executivo Sénior (Operações) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos superiores no campo operações. |
| Executivo Sénior (Marketing) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos seniores na área de Marketing. |
| Executivo Sénior (Informações) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos superiores no campo informações. |
| Executivo Sénior (Execução) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos seniores no campo de Execução. |
| Executivo Sénior (Recursos Humanos) | Identidade | Muito Alto | As identidades com esta classificação pertencem a executivos seniores na área dos Recursos Humanos. |
Recurso da cloud
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Bases de dados com Dados Confidenciais | Recurso da cloud | Alto | Este é um arquivo de dados que contém dados confidenciais. A confidencialidade dos dados pode ir desde segredos, documentos confidenciais, informações pessoais identificáveis e muito mais. |
| Máquina Virtual confidencial do Azure | Recurso da cloud | Alto | Esta regra aplica-se a máquinas virtuais confidenciais do Azure. As VMs confidenciais proporcionam um maior isolamento, privacidade e encriptação e são utilizadas para dados e cargas de trabalho críticos ou altamente confidenciais. |
| Máquina Virtual do Azure Bloqueada | Recurso da cloud | Médio | Esta é uma máquina virtual que é salvaguardada por um bloqueio. Os bloqueios são utilizados para proteger os recursos contra eliminações e modificações. Normalmente, os administradores utilizam bloqueios para salvaguardar recursos críticos da cloud no respetivo ambiente e protegê-los contra eliminações acidentais e modificações não autorizadas. |
| Máquina Virtual do Azure com Elevada Disponibilidade e Desempenho | Recurso da cloud | Baixo | Esta regra aplica-se a máquinas virtuais do Azure que utilizam o armazenamento premium do Azure e estão configuradas com um conjunto de disponibilidade. O armazenamento Premium é utilizado para máquinas com requisitos de elevado desempenho, como cargas de trabalho de produção. Os conjuntos de disponibilidade melhoram a resiliência e são frequentemente indicados para VMs críticas para a empresa que precisam de elevada disponibilidade. |
| Armazenamento Imutável do Azure | Recurso da cloud | Médio | Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado. A imutabilidade armazena dados de negócio numa escrita depois de ler o estado de muitos (WORM) e normalmente indica que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações. |
| Armazenamento Imutável e Bloqueado do Azure | Recurso da cloud | Alto | Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado com uma política bloqueada. A imutabilidade armazena dados de negócio numa escrita depois de ler muitos (WORM). A proteção de dados é aumentada com uma política bloqueada para garantir que os dados não podem ser eliminados ou que o respetivo tempo de retenção foi reduzido. Normalmente, estas definições indicam que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações ou eliminações. Os dados também podem ter de estar alinhados com as políticas de conformidade para a proteção de dados. |
| Máquina Virtual do Azure com sessão iniciada por um utilizador crítico | Recurso da cloud | Alto | Esta regra aplica-se a máquinas virtuais protegidas pelo Defender para Endpoint, em que um utilizador com um nível de criticidade elevado ou muito elevado tem sessão iniciada. O utilizador com sessão iniciada pode ser feito através de um dispositivo associado ou registado, de uma sessão ativa do browser ou de outros meios. |
| Azure Key Vaults com muitas identidades ligadas | Recurso da cloud | Alto | Esta regra identifica os Cofres de Chaves do Azure que podem ser acedidos por um grande número de identidades, em comparação com outros Key Vaults. Isto indica frequentemente que o Key Vault é utilizado por cargas de trabalho críticas, como serviços de produção. |
| Azure Key Vault com elevado número de operações | Recurso da cloud | Alto | Esta regra identifica os Cofres de Chaves do Azure com volumes de operação elevados, marcando-os como críticos. Estas métricas realçam os Key Vaults essenciais para segurança e estabilidade operacional. |
| Cluster de Serviço de Kubernetes do Azure bloqueado | Recurso da cloud | Baixo | Este é um cluster Serviço de Kubernetes do Azure que é salvaguardado por um bloqueio. Os bloqueios são utilizados para proteger os recursos contra eliminações e modificações. Normalmente, os administradores utilizam bloqueios para salvaguardar recursos críticos da cloud no respetivo ambiente e protegê-los contra eliminações acidentais e modificações não autorizadas. |
| Escalão Premium Serviço de Kubernetes do Azure cluster | Recurso da cloud | Alto | Esta regra aplica-se a clusters de Serviço de Kubernetes do Azure com gestão de clusters de escalão premium. Os escalões Premium são recomendados para executar cargas de trabalho de produção ou fundamentais para a atividade que necessitem de elevada disponibilidade e fiabilidade. |
| Serviço de Kubernetes do Azure cluster com vários nós | Recurso da cloud | Alto | Esta regra aplica-se a clusters Serviço de Kubernetes do Azure com um grande número de nós. Isto indica frequentemente que o cluster é utilizado para cargas de trabalho críticas, como cargas de trabalho de produção. |
| Cluster do Kubernetes do Azure Arc com vários nós | Recurso de Nuvem | Alto | Esta regra aplica-se a clusters do Kubernetes do Azure Arc com um grande número de nós. Isto indica frequentemente que o cluster é utilizado para cargas de trabalho críticas, como cargas de trabalho de produção. |