Corrigir recomendações de configuração de convidado

Nota

Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em novembro de 2024, todos os recursos do Defender for Servers que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de aposentadoria. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.

O Defender for Cloud avalia a configuração incorreta de linhas de base para máquinas virtuais (VMs) conectadas à sua assinatura. A avaliação avalia suas VMs em relação às linhas de base de segurança predefinidas, identificando quaisquer desvios ou configurações incorretas que possam representar riscos potenciais. Ao alinhar suas VMs com as práticas recomendadas de segurança e as políticas organizacionais, você pode manter um ambiente de computação robusto e seguro.

As informações da máquina são coletadas por meio da configuração de convidado da Política do Azure e a avaliação é baseada em benchmarks da Microsoft que abrangem vários benchmarks e regulamentos de conformidade. Por exemplo, CIS, STIG e muito mais. A configuração de convidado do Azure Policy habilita as seguintes políticas em sua assinatura:

• Linha de base de configuração de convidado da Política do Azure para Windows

• Linha de base de configuração de convidado da Política do Azure para Linux

Nota

Se você remover essas políticas, não poderá acessar os benefícios da extensão de configuração de convidado da Política do Azure.

Pré-requisitos

• Habilite o Defender for Servers Plan 2 em sua assinatura.

• Consulte a página de preços do Defender for Cloud para saber mais sobre as informações de preços do Plano 2 do Defender Servers.

Importante

Lembre-se de que os recursos adicionais fornecidos pela configuração de convidado do Azure Policy que existem fora do portal do Defender for Cloud não estão incluídos no Defender for Cloud e estão sujeitos às políticas de preços de configurações de convidado do Azure Policy. Por exemplo, remediação e políticas personalizadas. Para obter mais informações, consulte a página de preços de configuração de convidado do Azure Policy.

• Analise a matriz de suporte para a configuração de convidado da Política do Azure.

• Instale a configuração de convidado da Política do Azure em suas máquinas:

  • Máquinas do Azure: no portal do Defender for Cloud, na página de recomendações, procure e selecione a extensão Configuração de Convidado deve ser instalada em máquinas e corrija a recomendação.

  • Somente VMs do Azure Você deve Atribuir identidade gerenciada no portal do Defender for Cloud. Navegue até a página de recomendações. Procure e selecione A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema. Em seguida, corrija a recomendação.

  • (Opcional) Somente VMs do Azure: habilite a configuração de convidado da Política do Azure em toda a sua assinatura.

  • Habilite a extensão de configuração de convidado da Política do Azure em suas máquinas do Azure em toda a sua assinatura:

    1. Inicie sessão no portal do Azure.

    2. Procure e selecione Microsoft Defender para a Cloud.

    3. Navegue até Configurações de>ambiente Suas configurações de assinatura>& Monitoramento.

       

    4. Alterne o agente de Configuração de Convidado (visualização) para Ativado.

       

    5. Selecione Continuar.

  • GCP e AWS: a configuração de convidado do Azure Policy é instalada automaticamente quando você conecta seu projeto GCP ou conecta suas contas da AWS com o provisionamento automático do Azure Arc habilitado ao Defender for Cloud.

  • Máquinas locais: a configuração de convidado da Política do Azure é habilitada por padrão quando você integra máquinas locais como VMs ou máquinas habilitadas para Azure Arc.

Revisar e corrigir as recomendações de configuração do convidado

Depois que a configuração de convidado do Azure Policy for integrada à sua assinatura, o Defender for Cloud começará a avaliar suas VMs em relação às linhas de base de segurança. Com base em seus ambientes, se forem encontradas configurações incorretas, as seguintes recomendações podem aparecer na página de recomendações:

• As vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (alimentadas pela Configuração de convidado)
• Vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentado pela Configuração de convidado)

Para os rever e corrigir:

1. Inicie sessão no portal do Azure.

2. Navegue até Recomendações do Defender for Cloud> **.

3. Pesquise e selecione uma das recomendações.

4. Reveja a recomendação.

5. Remediar a recomendação.

Nota

Durante o processo de substituição do agente do Log Analytics, também conhecido como Microsoft Monitoring Agent (MMA), você pode receber recomendações duplicadas para a mesma máquina. Isso se deve ao fato de que o MMA e a configuração de convidado da Política do Azure estão avaliando a mesma máquina. Para evitar isso, você pode desativar o MMA na máquina.

Recomendações de consulta com API

O Defender for Cloud usa o Azure Resource Graph for API e consultas de portal para consultar informações de recomendação. Você pode utilizar esses recursos para criar suas próprias consultas para recuperar informações.

Você pode aprender a revisar recomendações no Azure Resource Graph.

Aqui estão dois exemplos de consultas que você pode usar:

• Consultar todas as regras não íntegras para um recurso específico

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Todas as regras insalubres e a quantidade se máquinas insalubres para cada uma

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Você pode aprender como criar consultas mais detalhadas aprendendo mais sobre a linguagem de consulta do Azure Resource Graph.

Nota

Durante o processo de substituição do agente do Log Analytics, também conhecido como Microsoft Monitoring Agent (MMA), você pode receber recomendações duplicadas para a mesma máquina. Isso se deve ao fato de que o MMA e a configuração de convidado da Política do Azure estão avaliando a mesma máquina. Para evitar isso, você pode desativar o MMA na máquina.

Próximo passo

Revise as recomendações de proteção de host do Docker