Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página fornece informações sobre recursos, correções e descontinuações com mais de seis meses. Para as últimas atualizações, leia O que há de novo em Defender para a Cloud?.
junho de 2025
| Date | Category | Update |
|---|---|---|
| 30 de junho | Preview | Defender para deteções DNS de contentores baseadas no Helm (Pré-visualização) |
| 25 de junho | Preview | Tags de índice opcionais para armazenar resultados de verificação de malware (Visualização) |
| 25 de junho | Preview | Descoberta de API e postura de segurança para APIs hospedadas em Aplicativos de Função e Aplicativos Lógicos (Visualização) |
| 25 de junho | Preview | Monitoramento da integridade de arquivos sem agente (visualização) |
| 18 de junho | Preview | Escaneamento de código sem agente – suporte GitHub e cobertura personalizável agora disponíveis (Pré-visualização) |
Defender para deteções DNS de contentores baseadas no Helm (Pré-visualização)
O que está incluído:
Suporte à implantação baseada em Helm
Para instruções de configuração e mais detalhes, veja Install Defender para o sensor Containers usando Helm.
Deteções de ameaças DNS
Melhora a eficiência da memória e reduz o consumo de CPU para implantações de cluster grandes.
Para mais informações, veja: Sensor for Defender for Containers Changelog.
Tags de índice opcionais para armazenar resultados de verificação de malware (Visualização)
25 de junho de 2025
A análise de malware do Defender for Storage introduz etiquetas de índice opcionais tanto para análises on-upload como on-demand. Com esse novo recurso, os usuários podem escolher se publicam resultados nas tags de índice do blob quando um blob é verificado (padrão) ou não usam tags de índice. As etiquetas de índice podem ser ativadas ou desativadas ao nível da subscrição e da conta de armazenamento através do portal Azure ou via API.
Descoberta de API e postura de segurança para APIs hospedadas em Aplicações de Função e Aplicações Lógicas (Visualização)
25 de junho de 2025
Defender para a Cloud agora estende as suas capacidades de descoberta de APIs e postura de segurança para incluir APIs alojadas em Azure Function Apps e Logic Apps, além do suporte existente para APIs publicadas em API Management do Azure.
Esse aprimoramento capacita as equipes de segurança com uma visão abrangente e continuamente atualizada da superfície de ataque à API de sua organização. As capacidades-chave incluem:
- Inventário Centralizado de APIs: Descobre e cataloga automaticamente APIs entre os serviços de Azure suportados.
- Avaliações de risco de segurança: identifique e priorize riscos, incluindo a identificação de APIs inativas que podem justificar a remoção, bem como APIs não criptografadas que podem expor dados confidenciais.
Estas capacidades estão automaticamente disponíveis para todos os clientes Defender para a Cloud Security Posture Management (DCSPM) que ativaram a extensão API Security Posture Management.
Cronograma de implantação: A implementação dessas atualizações começará em 25 de junho de 2025 e espera-se que chegue a todas as regiões suportadas dentro de uma semana.
Monitoramento da integridade de arquivos sem agente (visualização)
25 de junho de 2025
A Monitorização de Integridade de Arquivos sem agente (FIM) está agora disponível em pré-visualização. Esta funcionalidade complementa a solução FIM geralmente disponível (GA) baseada no agente Microsoft Defender para Endpoint, e introduz suporte para monitorização personalizada de ficheiros e registos.
O FIM sem agente permite que as organizações monitorem alterações de arquivo e registro em seu ambiente sem implantar outros agentes. Ele fornece uma alternativa leve e escalável, mantendo a compatibilidade com a solução existente baseada em agente.
As capacidades-chave incluem:
- Monitoramento personalizado: atenda aos requisitos específicos de conformidade e segurança definindo e monitorando caminhos de arquivos personalizados e chaves do Registro.
- Experiência unificada: os eventos do FIM sem agente e do MIF baseado em MDE são armazenados na mesma tabela de espaço de trabalho, com indicadores de origem claros.
Saiba mais sobre o monitoramento de integridade de arquivos e como habilitar o monitoramento de integridade de arquivos.
Digitalização de código sem agentes – suporte ao GitHub e cobertura personalizável agora disponíveis (Pré-visualização)
18 de junho de 2025
Atualizamos o recurso de varredura de código sem agente para incluir os principais recursos que estendem a cobertura e o controle. Essas atualizações incluem:
- Suporte para repositórios GitHub, além do Azure DevOps
- Seleção de scanner personalizável – selecione quais ferramentas (por exemplo, Bandit, Checkov, ESLint) executar
- Configuração granular de escopo – inclua ou exclua organizações, projetos ou repositórios específicos
A análise de código sem necessidade de agentes oferece análise de segurança escalável para código e infraestrutura como código (IaC) sem exigir alterações nos pipelines de CI/CD. Ele ajuda as equipes de segurança a detetar vulnerabilidades e configurações incorretas sem interromper os fluxos de trabalho do desenvolvedor.
Saiba mais sobre a digitalização de código sem agente configurante em Azure DevOps ou GitHub.
maio de 2025
| Date | Category | Update |
|---|---|---|
| 28 de maio | disponibilidade geral | Disponibilidade Geral para filtros de análise de malware personalizáveis no upload em Defender para armazenamento |
| Maio de 5 | Preview | Usuário Ativo (Visualização Pública) |
| 1 de maio | disponibilidade geral | Disponibilidade Geral para Defender para Serviços de IA |
| 1 de maio | disponibilidade geral | Microsoft Security Copilot está agora Geralmente Disponível em Defender para a Cloud |
| 1 de maio | disponibilidade geral | Painel de segurança de disponibilidade geral para dados e IA |
| 1 de maio | Alteração futura | GPSC do Defender começa a faturar pelos recursos Base de Dados do Azure para MySQL Flexible Server e Base de Dados do Azure para PostgreSQL Flexible Server |
Disponibilidade Geral para filtros de análise de malware personalizáveis no upload no Defender for Storage
Maio 28, 2025
A verificação de malware durante o upload agora suporta filtros personalizáveis. Os utilizadores podem definir regras de exclusão para verificações de malware durante o carregamento, com base em prefixos de caminho de blob, sufixos e tamanho de blob. Ao excluir caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros personalizáveis de verificação de malware ao carregar.
Usuário Ativo (Visualização Pública)
O recurso Usuário Ativo ajuda os administradores de segurança a identificar e atribuir recomendações rapidamente aos usuários mais relevantes com base na atividade recente do plano de controle. Para cada recomendação, até três usuários ativos potenciais são sugeridos no nível de recurso, grupo de recursos ou assinatura. Os administradores podem selecionar um usuário na lista, atribuir a recomendação e definir uma data de vencimento, disparando uma notificação para o usuário atribuído. Isso simplifica os fluxos de trabalho de correção, reduz o tempo de investigação e fortalece a postura geral de segurança.
Disponibilidade Geral para Defender para Serviços de IA
1 de maio de 2025
O Defender para a Cloud agora suporta proteção em tempo de execução para Serviços de IA do Azure (anteriormente chamada de proteção contra ameaças para cargas de trabalho de IA).
A proteção para Serviços de IA do Azure abrange ameaças específicas de serviços e aplicações de IA, como jailbreak, abuso de carteira, exposição de dados, padrões de acesso suspeitos e mais. As deteções utilizam sinais do Microsoft Threat Intelligence e do Azure AI Prompt Shields, e aplicam aprendizagem automática e IA para proteger os seus serviços de IA.
Saiba mais sobre Defender para Serviços de IA.
O Microsoft Security Copilot está agora disponível de forma geral no Defender para a Cloud
1 de maio de 2025
O Microsoft Security Copilot está agora geralmente disponível em Defender para a Cloud.
O Security Copilot acelera a remediação de riscos para as equipas de segurança, tornando mais rápido e fácil para os administradores abordar os riscos na cloud. Ele fornece resumos gerados por IA, ações de remediação e e-mails de delegação, orientando os usuários em cada etapa do processo de redução de riscos.
Os administradores de segurança podem resumir rapidamente recomendações, gerar scripts de correção e delegar tarefas por e-mail aos proprietários de recursos. Esses recursos reduzem o tempo de investigação, ajudam as equipes de segurança a entender os riscos no contexto e identificam recursos para uma rápida correção.
Saiba mais sobre Microsoft Security Copilot em Defender para a Cloud.
Painel de segurança de Dados e IA em Disponibilidade Geral
1 de maio de 2025
A Defender para a Cloud está a melhorar o painel de segurança de dados para incluir a Segurança de IA com o novo painel de segurança de Dados e IA na Geórgia. O painel fornece uma plataforma centralizada para monitorar e gerenciar dados e recursos de IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de dados e IA incluem:
- Visão unificada: obtenha uma visão abrangente de todos os dados organizacionais e recursos de IA.
- Informações sobre dados: entenda onde seus dados são armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção de seus dados e recursos de IA.
- Problemas críticos: destaque recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resuma recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra as pegadas dos aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de dados e IA.
GPSC do Defender começa a faturar pelos recursos do Base de Dados do Azure para MySQL Flexible Server e Base de Dados do Azure para PostgreSQL Flexible Server
1 de maio de 2025
Data estimada para alteração: junho de 2025
A partir de 1 de junho de 2025, a Microsoft GPSC do Defender começará a faturar pelos recursos Base de Dados do Azure para MySQL Flexible Server e Base de Dados do Azure para PostgreSQL Flexible Server na sua subscrição, onde O GPSC do Defender está ativado. Estes recursos já estão protegidos pelo GPSC do Defender e não é necessária qualquer ação do utilizador. Após o início da faturação, a fatura poderá aumentar.
Para obter mais informações, consulte Preços do plano CSPM
Abril de 2025
| Date | Category | Update |
|---|---|---|
| 29 de abril | Preview | Gestão de Postura de IA no GCP Vertex AI (Pré-visualização) |
| 29 de abril | Preview | Defender para a Cloud integração com Mend.io (Pré-visualização) |
| 29 de abril | Change | Atualizado GitHub Permissões de Aplicação |
| 28 de abril | Change | Atualização para Defender para servidores SQL em Máquinas |
| 27 de abril | disponibilidade geral | Novo limite predefinido para análise de malware no upload em Microsoft Defender para Armazenamento |
| 24 de abril | disponibilidade geral | Disponibilidade Geral da integração nativa de Gestão da Postura de Segurança da API dentro GPSC do Defender Plano |
| 7 de abril | Próxima mudança | Melhorias para Defender alertas de serviços de aplicações |
Gestão de Postura de IA no GCP Vertex AI (Pré-visualização)
29 de abril de 2025
As funcionalidades de gestão da postura de segurança da IA do Defender para a Cloud suportam agora cargas de trabalho de IA no Google Cloud Platform (GCP) Vertex AI (Preview).
Os principais recursos desta versão incluem:
- Descoberta moderna de aplicativos de IA: descubra e cataloge automaticamente componentes, dados e artefatos de aplicativos de IA implantados no GCP Vertex AI.
- Fortalecimento da postura de segurança: detete configurações incorretas e receba recomendações e ações de correção integradas para melhorar a postura de segurança de seus aplicativos de IA.
- Análise de trajetória de ataque: identifique e corrija riscos usando a análise avançada de caminho de ataque para proteger suas cargas de trabalho de IA contra ameaças potenciais.
Esses recursos são projetados para fornecer visibilidade abrangente, deteção de erros de configuração e proteção para recursos de IA, garantindo uma redução dos riscos para cargas de trabalho de IA desenvolvidas na plataforma de IA GCP Vertex.
Saiba mais sobre a gestão da postura de segurança da IA.
Defender para a Cloud integração com Mend.io (Pré-visualização)
29 de abril de 2025
Defender para a Cloud está agora integrado com Mend.io em pré-visualização. Essa integração melhora a segurança de aplicativos de software, identificando e mitigando vulnerabilidades nas dependências de parceiros. Essa integração simplifica os processos de deteção e correção, melhorando a segurança geral.
Saiba mais sobre a integração Mend.io.
Atualização de Permissões de Aplicações GitHub
29 de abril de 2025
GitHub conectores em Defender para a Cloud serão atualizados para incluir permissões de administrador para [Propriedades Personalizadas]. Essa permissão é usada para fornecer novos recursos de contextualização e tem como escopo o gerenciamento do esquema de propriedades personalizadas. As permissões podem ser concedidas de duas maneiras diferentes:
Na sua organização GitHub, navegue até à Microsoft Security aplicações DevOps em Definições > GitHub Apps e aceite o pedido de permissões.
Num email automatizado do Suporte da GitHub, selecione Revisão pedido de permissão para aceitar ou rejeitar esta alteração.
Nota: Os conectores existentes continuam a funcionar sem a nova funcionalidade se a ação acima não for executada.
Atualização do plano Defender para servidores SQL nas máquinas
28 de abril de 2025
O plano Defender for SQL Server em máquinas no Microsoft Defender para a Cloud protege instâncias do SQL Server alojadas em Azure, AWS, GCP e máquinas locais.
A partir de hoje, estamos a lançar gradualmente uma solução para agentes melhorada para o plano em questão. A solução baseada em agentes elimina a necessidade de implementar o Azure Monitor Agent (AMA) e utiliza a infraestrutura SQL existente. A solução foi projetada para facilitar os processos de integração e melhorar a cobertura de proteção.
Ações necessárias para o cliente:
Update para configuração do plano SQL Servers on Machines: Os clientes que ativaram Defender para SQL Server no plano em máquinas antes de hoje são obrigados a seguir estas instruções para atualizar a sua configuração, após a atualização melhorada do agente. Verificar o estado de proteção das instâncias SQL Server: Com uma data estimada de início em maio de 2025, os clientes devem verificar o estado de proteção das suas instâncias SQL Server nos seus ambientes. Aprenda a resolver problemas de implementação Defender para configuração SQL em máquinas.
Note
Após a atualização do agente, poderá experienciar um aumento de faturação se instâncias adicionais do SQL Server forem protegidas com o seu plano Defender for SQL Servers ativado nas máquinas. Para informações de faturação, consulte a página de preços Defender para a Cloud.
Novo limite predefinido para análise de malware no upload no Microsoft Defender for Storage
27 de abril de 2025
O valor limite padrão para a verificação de malware ao carregar foi atualizado de 5.000 GB para 10.000 GB. Este novo limite máximo aplica-se aos seguintes cenários:
Novas Subscrições: Subscrições onde o Defender para Armazenamento está ativado pela primeira vez.
Reativada Subscrições: Subscrições onde Defender para Armazenamento estava anteriormente desativado e agora está reativado.
Quando o Defender for Storage Malware Scanning estiver ativado para estas subscrições, o limite padrão para a análise de malware no upload será definido para 10.000GB. Esta tampa é ajustável para atender às suas necessidades específicas.
Para obter informações mais detalhadas, consulte a seção Verificação de malware - faturamento por GB, limite mensal e configuração
Disponibilidade Geral da Gestão da Postura de Segurança API integrada no Plano GPSC do Defender
24 de abril de 2025
A Gestão da Postura de Segurança da API está agora geralmente disponível como parte do plano GPSC do Defender. Esta versão introduz um inventário unificado das suas APIs juntamente com insights de postura, ajudando-o a identificar e priorizar os riscos da API de forma mais eficaz diretamente do seu plano GPSC do Defender. Você pode habilitar esse recurso por meio da página Configurações do ambiente ativando a extensão Postura de segurança da API.
Com esta atualização, novos fatores de risco foram adicionados, incluindo fatores de risco para APIs não autenticadas (AllowsAnonymousAccess) e APIs sem criptografia (UnencryptedAccess). Além disso, as APIs publicadas através do API Management do Azure permitem agora o mapeamento para quaisquer Entradas e VMs Kubernetes ligadas, proporcionando visibilidade de ponta a ponta da exposição da API e suportando a remediação de riscos através da análise do caminho de ataque.
Melhorias para o Defender para alertas de serviços de aplicações
7 de abril de 2025
A 30 de abril de 2025, as capacidades de alerta do Defender for App Service serão reforçadas. Adicionaremos alertas para execuções de código suspeitas e acesso a endpoints internos ou remotos. Além disso, melhoramos a cobertura e reduzimos o ruído de alertas relevantes, expandindo nossa lógica e removendo alertas que estavam causando ruído desnecessário. Como parte desse processo, o alerta "Invocação suspeita de tema WordPress detetada" será preterido.
Março de 2025
| Date | Category | Update |
|---|---|---|
| 30 de março | disponibilidade geral | Proteção de contentor aprimorada com avaliação de vulnerabilidade e detecção de malware para nós AKS está agora em Disponibilidade Geral |
| 27 de março | Preview | Implantação fechada do Kubernetes (Visualização) |
| 27 de março | Preview | Filtros de análise de malware personalizáveis no upload em Defender para Armazenamento (Pré-visualização) |
| 26 de março | disponibilidade geral | Disponibilidade Geral para suporte a digitalização de VMs sem agente para CMK em Azure |
| 11 de março | Próxima mudança | Próxima alteração dos níveis de gravidade da recomendação |
| Março 03 | disponibilidade geral | Disponibilidade Geral de Monitorização da Integridade de Ficheiros (FIM) baseada em Microsoft Defender para Endpoint em Azure Government |
Proteção de contêiner aprimorada com avaliação de vulnerabilidade e deteção de malware para nós AKS agora é GA
30 de março de 2025
O Defender para a Cloud fornece agora avaliação de vulnerabilidades e deteção de malware para os nós no Azure Kubernetes Service (AKS) como GA. Fornecer proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço Kubernetes gerenciado e entendam sua parte na responsabilidade de segurança compartilhada que têm com o provedor de nuvem gerenciada. Para receber as novas capacidades, tem de ativar o plano Agentless scanning para máquinas" como parte de GPSC do Defender, Defender para Containers, ou Defender para o plano P2 de Servidores na sua subscrição.
Avaliação de vulnerabilidades
Uma nova recomendação está agora disponível no portal Azure:
Deteção de malware
Novos alertas de segurança são acionados quando o recurso de deteção de malware sem agente deteta malware nos nós AKS. A deteção de malware sem agentes utiliza o motor anti-malware Microsoft Defender Antivirus para analisar e detetar ficheiros maliciosos. Quando são detetadas ameaças, os alertas de segurança são encaminhados para o Defender para a Cloud e o Defender XDR, onde podem ser investigados e remediados.
Nota: A deteção de malware para nós AKS está disponível apenas para Defender para contentores ou Defender para servidores em ambientes com P2.
Implantação fechada do Kubernetes (Visualização)
Março 27, 2025
Estamos a introduzir a funcionalidade de implementação bloqueada do Kubernetes (Preview) no plano Defender for Containers. A implantação fechada do Kubernetes é um mecanismo para melhorar a segurança do Kubernetes controlando a implantação de imagens de contêiner que violam as políticas de segurança organizacional.
Esta capacidade baseia-se em duas novas funcionalidades:
- Artefato de descobertas de vulnerabilidade: geração de descobertas para cada imagem de contêiner digitalizada para avaliação de vulnerabilidade.
- Regras de segurança: adição de regras de segurança para alertar ou impedir a implantação de imagens de contêineres vulneráveis em clusters Kubernetes.
Regras de segurança personalizadas: os clientes podem personalizar regras de segurança para vários ambientes, para clusters Kubernetes dentro de sua organização ou para namespaces, para habilitar controles de segurança adaptados a necessidades específicas e requisitos de conformidade.
Ações configuráveis para uma regra de segurança:
Auditoria: a tentativa de implantar uma imagem de contêiner vulnerável aciona uma ação de "Auditoria", gerando uma recomendação com detalhes de violação na imagem do contêiner.
Negar: a tentativa de implantar uma imagem de contêiner vulnerável dispara uma ação "Negar" para impedir a implantação da imagem de contêiner, garantindo que apenas imagens seguras e compatíveis sejam implantadas.
Segurança de ponta a ponta: Definindo a proteção contra a implantação de imagens de contêineres vulneráveis como a primeira regra de segurança, introduzimos o mecanismo de regulação segura do Kubernetes de ponta a ponta, garantindo que contêineres vulneráveis não entrem no ambiente Kubernetes do cliente.
Para obter mais informações sobre esse recurso, consulte Visão geral da solução de implantação fechada.
Filtros de análise de malware personalizáveis no upload no Defender for Storage (Pré-visualização)
Março 27, 2025
A verificação de malware durante o upload agora suporta filtros personalizáveis. Os utilizadores podem definir regras de exclusão para verificações de malware durante o carregamento, com base em prefixos de caminho de blob, sufixos e tamanho de blob. Ao excluir caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros personalizáveis de verificação de malware ao carregar.
Disponibilidade Geral para suporte à digitalização de VMs sem agente para CMK no Azure
26 de março de 2025
A varredura sem agente para VMs Azure com discos encriptados CMK está agora Geralmente Disponível. Tanto o plano GPSC do Defender como o Defender for Servers P2 oferecem suporte para varredura sem agente para VMs, agora com suporte CMK em todas as clouds
Aprenda a ativar a varredura sem agentes para Azure VMs com discos encriptados CMK.
Próxima alteração dos níveis de gravidade da recomendação
11 de março de 2025
Estamos aumentando os níveis de severidade das recomendações para melhorar a avaliação e a priorização de riscos. Como parte desta atualização, reavaliamos todas as classificações de gravidade e introduzimos um novo nível — Crítico. Anteriormente, as recomendações eram categorizadas em três níveis: Baixo, Médio e Alto. Com essa atualização, agora há quatro níveis distintos: Baixo, Médio, Alto e Crítico, fornecendo uma avaliação de risco mais granular para ajudar os clientes a se concentrarem nos problemas de segurança mais urgentes.
Como resultado, os clientes podem notar alterações na severidade das recomendações existentes. Adicionalmente, a avaliação do nível de risco, que está disponível apenas para clientes do GPSC do Defender, pode também ser afetada, pois tanto a severidade da recomendação como o contexto do ativo são tidos em consideração. Estes ajustamentos podem afetar o nível de risco global.
A mudança prevista ocorrerá em 25 de março de 2025.
Disponibilidade Geral da Monitorização da Integridade de Ficheiros (FIM) baseada no Microsoft Defender para Endpoint no Azure Government
Março 03, 2025
A monitorização de integridade de ficheiros baseada no Microsoft Defender para Endpoint é agora GA no Azure Government (GCCH) como parte do Defender for Servers Plan 2.
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detetando alterações suspeitas no conteúdo de arquivos.
Esta experiência FIM melhorada substitui a existente que estava destinada a ser descontinuada com a reforma do Log Analytics Agent (MMA). A experiência FIM sobre MMA manter-se-á suportada em Azure Government até ao final de março de 2023.
Com esta versão, será lançada uma experiência integrada no produto para permitir migrar a sua configuração FIM sobre MMA para a nova versão FIM over Defender for Endpoint.
Para informações sobre como ativar o FIM sobre Defender para o Endpoint, consulte Monitorização da Integridade de Ficheiros usando Microsoft Defender para Endpoint. Para obter informações sobre como desabilitar versões anteriores e usar a ferramenta de migração, consulte Migrar monitoramento de integridade de arquivos de versões anteriores.
Important
A disponibilidade de Monitorização de Integridade de Ficheiros no Azure operada pela 21Vianet e nas clouds GCCM não está atualmente planeada para ser suportada.
fevereiro de 2025
| Date | Category | Update |
|---|---|---|
| 27 de fevereiro | Change | Exibição aprimorada do nome do recurso do AWS EC2 |
| 27 de fevereiro | disponibilidade geral | Análise de malware sob demanda em Microsoft Defender para Armazenamento |
| 27 de fevereiro | disponibilidade geral | Defender para armazenamento de malware, a análise de blobs até 50 GB |
| 23 de fevereiro | Preview | Avaliação de vulnerabilidades independente do registo de contêineres e sem agente para contêineres em tempo de execução AKS (Pré-visualização) |
| 23 de fevereiro | Preview | Painel de segurança de dados e IA (Visualização) |
| 19 de fevereiro | Preview | Calculadora de Custos MDC (Pré-visualização) |
| 19 de fevereiro | Preview | 31 Cobertura de normas regulatórias multicloud novas e aprimoradas |
Exibição aprimorada do nome do recurso do AWS EC2
27 de fevereiro de 2025
Data estimada para alteração: Março de 2025
Estamos aprimorando a forma como os nomes de recursos são mostrados para instâncias do AWS EC2 em nossa plataforma. Se uma instância do EC2 tiver uma tag "name" definida, o campo Nome do recurso exibirá o valor dessa tag. Se nenhuma tag "nome" estiver presente, o campo Nome do recurso continuará a mostrar o ID da instância como antes. A ID do Recurso ainda estará disponível no campo ID do Recurso para referência.
O uso da tag "name" do EC2 permite identificar facilmente seus recursos com nomes personalizados e significativos, em vez de IDs. Isso torna mais rápido localizar e gerenciar instâncias específicas, reduzindo o tempo e o esforço gastos na pesquisa ou no cruzamento de detalhes de instâncias.
Análise de malware sob demanda no Microsoft Defender for Storage
27 de fevereiro de 2025
A varredura de malware on-demand no Microsoft Defender for Storage, agora na Geórgia, permite digitalizar blobs existentes nas contas do Armazenamento do Azure sempre que necessário. As varreduras podem ser iniciadas a partir da interface do portal Azure ou através da API REST, suportando automação através de Logic Apps, playbooks de automação e scripts PowerShell. Esta funcionalidade utiliza o Microsoft Defender Antivirus com as definições mais recentes de malware para cada análise e fornece uma estimativa antecipada de custos no portal do Azure antes da digitalização.
Casos de uso:
- Resposta a incidentes: analise contas de armazenamento específicas depois de detetar atividades suspeitas.
- Base de Segurança: Escanear todos os dados armazenados ao ativar a Defender para Armazenamento.
- Conformidade: defina a automação para agendar verificações que ajudem a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte Verificação de malware sob demanda.
Malware Defender for Storage a analisar blobs até 50 GB
27 de fevereiro de 2025
A digitalização de malware do Defender for Storage suporta agora blobs até 50GB (anteriormente limitados a 2GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB digitalizados por mês. Para obter mais informações, consulte Controle de custos para verificação de malware ao carregar.
Avaliação de vulnerabilidades sem agente e independente do registo de contentores para contentores de execução AKS (Pré-visualização)
23 de fevereiro de 2025
Os planos Defender for Containers e Defender para a Cloud Security Posture Management (CSPM) incluem agora uma avaliação de vulnerabilidades agentless agnostica ao registo de contentores para containers em tempo de execução AKS. Esse aprimoramento estende a cobertura de avaliação de vulnerabilidades para incluir a execução de contêineres com imagens de qualquer registro (não restrito aos registros suportados), além da verificação de complementos do Kubernetes e ferramentas de terceiros em execução em seus clusters AKS. Para ativar esta funcionalidade, certifique-se de que Agentless machine scaning está ativado para a sua subscrição nas definições do ambiente Defender para a Cloud.
Painel de segurança de dados e IA (Visualização)
23 de fevereiro de 2025
A Defender para a Cloud está a melhorar o painel de segurança de dados para incluir a Segurança de IA com o novo painel de Dados e Segurança de IA no Preview. O painel fornece uma plataforma centralizada para monitorar e gerenciar dados e recursos de IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de dados e IA incluem:
- Visão unificada: obtenha uma visão abrangente de todos os dados organizacionais e recursos de IA.
- Informações sobre dados: entenda onde seus dados são armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção de seus dados e recursos de IA.
- Problemas críticos: destaque recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resuma recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra as pegadas dos aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de dados e IA.
Calculadora de Custos MDC (Pré-visualização)
Fevereiro 19, 2025
Temos o prazer de apresentar nossa nova Calculadora de Custos MDC para ajudá-lo a estimar facilmente os custos associados à proteção de seus ambientes de nuvem. Esta ferramenta é adaptada para lhe fornecer uma compreensão clara e precisa das suas despesas, garantindo que pode planear e orçamentar de forma eficaz.
Por que usar a calculadora de custos?
Nossa calculadora de custos simplifica o processo de estimativa de custos, permitindo que você defina o escopo de suas necessidades de proteção. Você seleciona os ambientes e planos que deseja habilitar e a calculadora preenche automaticamente os recursos faturáveis de cada plano, incluindo quaisquer descontos aplicáveis. Você tem uma visão abrangente de seus custos potenciais sem surpresas.
Principais características:
Definição do âmbito de aplicação: Selecione os planos e ambientes que lhe interessam. A calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente.
Ajustes automáticos e manuais: A ferramenta permite a coleta automática de dados e ajustes manuais. Você pode modificar a quantidade unitária e os níveis de desconto para ver como as alterações afetam o custo geral.
Estimativa de custo abrangente: A calculadora fornece uma estimativa para cada plano e um relatório de custo total. Você recebe um detalhamento detalhado dos custos, facilitando a compreensão e o gerenciamento de suas despesas.
Suporte Multicloud: Nossa solução funciona para todas as nuvens suportadas, garantindo que você obtenha estimativas de custos precisas, independentemente do seu provedor de nuvem.
Exportar e compartilhar: Depois de ter sua estimativa de custo, você pode facilmente exportá-la e compartilhá-la para planejamento e aprovações de orçamento.
31 Cobertura de normas regulatórias multicloud novas e aprimoradas
Fevereiro 19, 2025
Estamos entusiasmados por anunciar o suporte melhorado e alargado de mais de 31 quadros de segurança e regulamentação no Defender para a Cloud em Azure, AWS e GCP. Esse aprimoramento simplifica o caminho para alcançar e manter a conformidade, reduz o risco de violações de dados e ajuda a evitar multas e danos à reputação.
Os quadros novos e melhorados são os seguintes:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Regulamento Geral sobre a Proteção de Dados (RGPD) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controles CIS v8.1 | Azure, AWS, GCP |
| Fundamentos CIS GCP v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Quadro de Controlos de Segurança do Cliente SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificação do Modelo de Maturidade em Cibersegurança (CMMC) Nível 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canadá Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles de nuvem CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Política de Segurança dos Serviços de Informação da Justiça Penal v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Lei Geral de Proteção de Dados (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Lei Sarbanes-Oxley 2022 (SOX) | Azure, AWS |
| Estrutura de Garantia Cibernética NCSC (CAF) v3.2 | Azure, AWS, GCP |
Isto junta-se às versões recentes do CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 e CIS Amazon Elastic Kubernetes Service (EKS) v.15 de há alguns meses.
Para mais informações sobre Defender para a Cloud oferta de Conformidade Regulamentar, Saiba mais>
janeiro de 2025
| Date | Category | Update |
|---|---|---|
| 30 de janeiro | disponibilidade geral | Atualização dos critérios de verificação para registros de contêiner |
| 29 de janeiro | Change | Aprimoramentos para a avaliação de vulnerabilidades em contentores impulsionada pelo MDVM |
| 27 de janeiro | disponibilidade geral | Permissões adicionadas ao conector GCP para suportar plataformas de IA |
| 20 de janeiro | Change | Melhorias para a recomendação de Linhas de Base Linux potenciadas por GC |
Atualização dos critérios de verificação para registros de contêiner
Janeiro 30, 2025
Estamos a atualizar um dos critérios de varrimento para imagens de registo na recomendação de pré-visualização para imagens de registo em todas as nuvens e registos externos (Azure, AWS, GCP, Docker, JFrog).
O que está mudando?
Atualmente, verificamos novamente as imagens por 90 dias após terem sido enviadas para um registro. Isto será agora alterado para analisar os últimos 30 dias.
Note
Não há alterações nas recomendações de GA relacionadas para avaliação de vulnerabilidade de contêiner (VA) em imagens do Registro.
Melhorias na avaliação de vulnerabilidades em contentores, suportadas pela tecnologia MDVM
Janeiro 29, 2025
Temos o prazer de anunciar melhorias em nossa cobertura de varredura de avaliação de vulnerabilidade de contêiner com as seguintes atualizações:
Linguagens de programação adicionais: Agora suportando PHP, Ruby e Rust.
Extended Java Language Support: Inclui varredura de JARs explodidos.
Uso de memória melhorado: desempenho otimizado ao ler arquivos de imagem de contêiner grandes.
Permissões adicionadas ao conector GCP para suportar plataformas de IA
Janeiro 27, 2025
O conector GCP agora tem permissões adicionais para suportar a plataforma GCP AI (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Aprimoramentos para a recomendação Linux Baselines impulsionada por GC
Janeiro 20, 2025
Estamos aprimorando o recurso Baselines Linux (powered by GC) para melhorar sua precisão e cobertura. Durante o mês de fevereiro, você poderá notar alterações, como nomes de regras atualizados e regras adicionais. Estas melhorias destinam-se a tornar a avaliação das bases de referência mais precisa e atualizada. Para obter mais informações sobre as alterações, consulte o blog relevante
Algumas das alterações podem incluir uma "pré-visualização pública" adicional. Esta atualização é benéfica para si e queremos mantê-lo informado. Se preferir, pode optar por não receber esta recomendação, isentando-a do seu recurso ou removendo a extensão GC.
Dezembro de 2024
| Date | Category | Update |
|---|---|---|
| 31 de dezembro | disponibilidade geral | Alterações no intervalo de verificação de conectores de nuvem existentes |
| 22 de dezembro | disponibilidade geral | Microsoft Defender para Endpoint atualização da versão do cliente é necessária para receber a experiência de Monitorização de Integridade de Ficheiros (FIM) |
| 17 de dezembro | Preview | Integrar Defender para a Cloud CLI com ferramentas populares de CI/CD |
| 10 de dezembro | disponibilidade geral | Defender para a Cloud Experiência de configuração |
| 10 de dezembro | disponibilidade geral | Opções de intervalo revisas para Defender para a Cloud varredura de um ambiente cloud |
| 17 de dezembro | disponibilidade geral | As capacidades de varredura de sensibilidade incluem agora Azure partilhas de ficheiros |
Alterações no intervalo de verificação de conectores de nuvem existentes
31 de dezembro de 2024
No início deste mês, foi publicada uma atualização relativa às opções de intervalo de Defender para a Cloud revistas para a análise de um ambiente cloud. A definição do intervalo de varrimento determina com que frequência os serviços de descoberta do Defender para a Cloud analisam os seus recursos na cloud. Essa alteração garante um processo de verificação mais equilibrado, otimizando o desempenho e minimizando o risco de atingir os limites da API.
As definições de intervalo de varredura para os conectores cloud AWS e GCP existentes serão atualizadas para garantir a capacidade do Defender para a Cloud de analisar os seus ambientes cloud.
Serão feitos os seguintes ajustamentos:
- Os intervalos atualmente definidos entre 1 e 3 horas serão atualizados para 4 horas.
- Os intervalos definidos para 5 horas serão atualizados para 6 horas.
- Os intervalos definidos entre 7 e 11 horas serão atualizados para 12 horas.
- Intervalos de 13 horas ou mais serão atualizados para 24 horas.
Se preferir um intervalo de verificação diferente, você pode ajustar os conectores de nuvem usando a página de configurações de ambiente. Essas alterações serão aplicadas automaticamente a todos os clientes no início de fevereiro de 2025, e nenhuma ação adicional é necessária.
As capacidades de análise de sensibilidade incluem agora partilhas de ficheiros no Azure
17 de dezembro de 2024
As capacidades de análise de sensibilidade da Security Posture Management (CSPM) da Defender para a Cloud incluem agora Azure partilhas de ficheiros no GA, além dos contentores de blobs.
Antes desta atualização, ativar o plano GPSC do Defender numa subscrição escaneava automaticamente os contentores de blob dentro das contas de armazenamento à procura de dados sensíveis. Com esta atualização, a funcionalidade de varredura de sensibilidade do Defender for CSPM inclui agora partilhas de ficheiros dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção de contas de armazenamento confidenciais, fornecendo uma análise mais abrangente de riscos potenciais.
Saiba mais sobre a verificação de sensibilidade.
Integre a CLI do Defender para a Cloud com ferramentas populares de CI/CD
A integração de digitalização CLI do Defender para a Cloud com ferramentas populares de CI/CD no Microsoft Defender para a Cloud está agora disponível para pré-visualização pública. A CLI agora pode ser incorporada em pipelines de CI/CD para verificar e identificar vulnerabilidades de segurança no código-fonte em contêineres. Esse recurso ajuda as equipes de desenvolvimento a detetar e abordar vulnerabilidades de código durante a execução do pipeline. Requer autenticação no Microsoft Defender para a Cloud e modificações no script do pipeline. Os resultados da análise serão carregados para o Microsoft Defender para a Cloud, permitindo que as equipas de segurança os visualizem e correlacionem com os contentores no registo de contentores. Esta solução fornece informações contínuas e automatizadas para agilizar a deteção e resposta a riscos, garantindo segurança sem interromper os fluxos de trabalho.
Casos de uso:
- Verificação de pipeline dentro de ferramentas de CI/CD: monitore com segurança todos os pipelines que invocam a CLI.
- Deteção antecipada de vulnerabilidades: Os resultados são publicados no pipeline e enviados para o Microsoft Defender para a Cloud.
- Informações de segurança contínuas: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem prejudicar a produtividade.
Para mais informações, consulte Integrar Defender para a Cloud CLI com Ferramentas Populares CI/CD.
Experiência de configuração do Defender para a Cloud
10 de dezembro de 2024
A experiência de Configuração permite-lhe iniciar os seus primeiros passos com o Microsoft Defender para a Cloud, ligando ambientes cloud como infraestruturas cloud, repositórios de código e registos externos de contentores.
Você é guiado através da configuração do seu ambiente de nuvem, para proteger seus ativos com planos de segurança avançados, executar sem esforço ações rápidas para aumentar a cobertura de segurança em escala, estar ciente de problemas de conectividade e ser notificado sobre novos recursos de segurança. Pode navegar para a nova experiência a partir do menu Defender para a Cloud selecionando Setup.
Opções de intervalo revistas para a varredura do Defender para a Cloud num ambiente cloud
10 de dezembro de 2024
As opções de intervalo de verificação para conectores de nuvem associados à AWS, GCP, Jfrog e DockerHub foram revisadas. A funcionalidade de intervalo de varrimento permite-lhe controlar a frequência com que o Defender para a Cloud inicia uma varredura do ambiente cloud. Você pode definir o intervalo de verificação para 4, 6, 12 ou 24 horas, ao adicionar ou editar um conector de nuvem. O intervalo de verificação padrão para novos conectores continua a ser de 12 horas.
A atualização da versão do cliente Microsoft Defender para Endpoint é necessária para receber a experiência de Monitorização de Integridade de Ficheiros (FIM)
Junho, 2025
A partir de junho de 2025, o File Integrity Monitoring (FIM) exige uma versão mínima do cliente Defender for Endpoint (MDE). Por favor, certifique-se de que, pelo menos, segue versões do cliente para continuar a beneficiar da experiência FIM no Microsoft Defender para a Cloud: para Windows: 10.8760, para Linux: 30.124082. Mais informações
Novembro de 2024
As capacidades de análise de sensibilidade incluem agora partilhas de ficheiros Azure (Pré-visualização)
28 de novembro de 2024
As capacidades de análise de sensibilidade da Security Posture Management (CSPM) da Defender para a Cloud incluem agora Azure partilhas de ficheiros (em pré-visualização), além de contentores blob.
Antes desta atualização, ativar o plano GPSC do Defender numa subscrição escaneava automaticamente os contentores de blob dentro das contas de armazenamento à procura de dados sensíveis. Com esta atualização, a funcionalidade de varredura de sensibilidade do Defender for CSPM inclui agora partilhas de ficheiros dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção de contas de armazenamento confidenciais, fornecendo uma análise mais abrangente de riscos potenciais.
Saiba mais sobre a verificação de sensibilidade.
Alterações no consentimento da etiqueta de sensibilidade
26 de novembro de 2024
Já não precisa de selecionar o botão dedicado de consentimento na secção "Information Protection" na página "Etiquetas", para beneficiar de tipos de informação personalizados e etiquetas de sensibilidade configurados no portal Microsoft 365 Defender ou no portal do Microsoft Purview.
Com esta alteração, todos os tipos de informação personalizados e etiquetas de sensibilidade são automaticamente importados para o portal Microsoft Defender para a Cloud.
Saiba mais sobre as configurações de sensibilidade de dados.
Alterações no rótulo de sensibilidade
26 de novembro de 2024
Até há pouco tempo, o Defender para a Cloud importava todas as etiquetas de sensibilidade do portal Microsoft 365 Defender que cumpriam as seguintes duas condições:
- Etiquetas de sensibilidade cujo âmbito está definido como "Itens -> Ficheiros", ou "Itens -> Emails", na secção "Definir o âmbito da sua etiqueta" na secção Information Protection.
- O rótulo de sensibilidade tem uma regra de rotulagem automática configurada.
A partir de 26 de novembro de 2024, os nomes dos escopos de etiquetas de sensibilidade na interface do utilizador (UI) foram atualizados tanto no portal Microsoft 365 Defender como no portal do Microsoft Purview. O Defender para a Cloud agora só importa etiquetas de sensibilidade com o âmbito "Ficheiros e outros ativos de dados" aplicado a elas. O Defender para a Cloud já não importa etiquetas com o âmbito "Emails" aplicado a elas.
Note
Os rótulos que foram configurados com "Itens -> Arquivos" antes dessa alteração ocorrer são migrados automaticamente para o novo escopo "Arquivos e outros ativos de dados".
Saiba mais sobre como configurar rótulos de sensibilidade.
Defender for Storage a analisar o malware para blobs até 50 GB (Pré-visualização)
25 de novembro de 2024
Data prevista para alteração: 1 de dezembro de 2024
A partir de 1 de dezembro de 2024, a análise de malware Defender para armazenamento irá suportar blobs até 50GB de tamanho (anteriormente limitado a 2GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB digitalizados por mês. Para obter mais informações, consulte Controle de custos para verificação de malware ao carregar.
Versões atualizadas dos padrões CIS para ambientes Kubernetes gerenciados e novas recomendações
19 de novembro de 2024
O painel de conformidade regulatória da Defender para a Cloud oferece agora versões atualizadas das normas do Center for Internet Security (CIS) para avaliar a postura de segurança dos ambientes Kubernetes geridos.
No painel, você pode atribuir os seguintes padrões aos seus recursos do Kubernetes AWS/EKS/GKE:
- Serviço de Kubernetes do Azure CIS (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Para garantir a melhor profundidade de cobertura possível para esses padrões, enriquecemos nossa cobertura lançando também 79 novas recomendações centradas no Kubernetes.
Para usar essas novas recomendações, atribua os padrões listados acima ou crie um padrão personalizado e inclua uma ou mais das novas avaliações nele.
Visualização pública de eventos do processo de nuvem do Kubernetes em caça avançada
Estamos a anunciar o lançamento prévio dos eventos de processos na nuvem do Kubernetes na pesquisa avançada. Essa poderosa integração fornece informações detalhadas sobre eventos de processo do Kubernetes que ocorrem em seus ambientes multicloud. Você pode usá-lo para descobrir ameaças que podem ser observadas por meio de detalhes do processo, como processos mal-intencionados invocados em sua infraestrutura de nuvem. Para obter mais informações, consulte CloudProcessEvents.
Descontinuação do recurso Bring your own License (BYOL) no gerenciamento de vulnerabilidades
19 de novembro de 2024
Data estimada para alteração:
3 de fevereiro de 2025: O recurso não estará mais disponível para integração de novas máquinas e assinaturas.
1º de maio de 2025: O recurso será totalmente preterido e não estará mais disponível.
Como parte dos nossos esforços para melhorar a experiência de segurança do Defender para a Cloud, estamos a simplificar as nossas soluções de avaliação de vulnerabilidades. Estamos a remover a funcionalidade "Traga a Sua Própria Licença" no Defender para a Cloud. Agora vai usar os conectores Microsoft Security Exposure Management para uma solução mais fluida, integrada e completa.
Recomendamos que faça a transição para a nova solução de conectores dentro do Microsoft Security Exposure Management. A nossa equipa está aqui para o apoiar nesta transição.
Para mais informações sobre a utilização dos conectores, consulte Visão geral sobre fontes de dados ligadas em Microsoft Security Gestão de Exposição - Microsoft Security Gestão de Exposição.
Digitalização de código sem agente no Microsoft Defender para a Cloud (pré-visualização)
19 de novembro de 2024
A digitalização de código sem agente no Microsoft Defender para a Cloud já está disponível para pré-visualização pública. Oferece segurança rápida e escalável para todos os repositórios em organizações Azure DevOps com um único conector. Esta solução ajuda as equipas de segurança a encontrar e corrigir vulnerabilidades em configurações de código e infraestrutura como código (IaC) em ambientes Azure DevOps. Ele não requer agentes, alterações em pipelines ou interrupções nos fluxos de trabalho do desenvolvedor, simplificando a configuração e a manutenção. Ele funciona independentemente de pipelines de integração contínua e implantação contínua (CI/CD). A solução fornece insights contínuos e automatizados para acelerar a deteção e resposta a riscos, garantindo segurança sem interromper fluxos de trabalho.
Casos de uso:
- Varredura a nível organizacional: Pode monitorizar de forma segura todos os repositórios nas Azure DevOps organizações com um único conector.
- Deteção precoce de vulnerabilidades: encontre rapidamente o código e os riscos de IAC para um gerenciamento proativo de riscos.
- Informações contínuas sobre segurança: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem afetar a produtividade.
Para mais informações, consulte Agent code scanning em Microsoft Defender para a Cloud.
Análise de malware a pedido no Microsoft Defender for Storage (Pré-visualização)
19 de novembro de 2024
A análise de malware on-demand no Microsoft Defender for Storage, agora em pré-visualização pública, permite a análise de blobs existentes nas contas do Armazenamento do Azure sempre que necessário. As varreduras podem ser iniciadas a partir da interface do portal Azure ou através da API REST, suportando automação através de Logic Apps, playbooks de automação e scripts PowerShell. Esta funcionalidade utiliza o Microsoft Defender Antivirus com as definições mais recentes de malware para cada análise e fornece uma estimativa antecipada de custos no portal do Azure antes da digitalização.
Casos de uso:
- Resposta a incidentes: analise contas de armazenamento específicas depois de detetar atividades suspeitas.
- Base de Segurança: Escanear todos os dados armazenados ao ativar a Defender para Armazenamento.
- Conformidade: defina a automação para agendar verificações que ajudem a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte Verificação de malware sob demanda.
Suporte ao registo de contentores do JFrog Artifactory pelo Defender for Containers (Pré-visualização)
18 de novembro de 2024
Esta funcionalidade estende a cobertura do Microsoft Defender for Containers de registos externos para incluir o JFrog Artifactory. As imagens dos seus contentores do JFrog Artifactory são digitalizadas usando o Gestão de vulnerabilidades do Microsoft Defender para identificar ameaças de segurança e mitigar potenciais riscos.
O gerenciamento de postura de segurança de IA agora está disponível em geral (GA)
18 de novembro de 2024
As funcionalidades de gestão da postura de segurança em IA do Defender para a Cloud estão agora geralmente disponíveis (GA).
O Defender para a Cloud reduz o risco de cargas de trabalho de IA entre cloud através de:
Descobrindo o Guia de Materiais de IA Generativa (AI BOM), que inclui componentes de aplicativos, dados e artefatos de IA, desde o código até a nuvem.
Fortalecer a postura de segurança de aplicativos de IA generativa com recomendações integradas e explorando e remediando riscos de segurança.
Usando a análise de caminho de ataque para identificar e remediar riscos.
Saiba mais sobre a gestão da postura de segurança da IA.
Proteção de ativos críticos no Microsoft Defender para a Cloud
18 de novembro de 2024
Hoje, temos o prazer de anunciar a Disponibilidade Geral da Proteção de Ativos Críticos no Microsoft Defender para a Cloud. Esta funcionalidade permite aos administradores de segurança identificar os recursos "joias da coroa" que são mais críticos para as suas organizações, permitindo ao Defender para a Cloud oferecer-lhes o mais alto nível de proteção e priorizar questões de segurança nestes ativos acima de todos os outros. Saiba mais sobre a proteção de ativos críticos.
Juntamente com o lançamento de Disponibilidade Geral, estamos também a expandir o suporte para a marcação de Kubernetes e recursos de identidade não humana.
Proteção aprimorada de ativos críticos para contêineres
18 de novembro de 2024
A proteção de ativos críticos é estendida para oferecer suporte a casos de uso adicionais para contêineres.
Os usuários agora podem criar regras personalizadas que marcam os ativos gerenciados pelo Kubernetes (cargas de trabalho, contêineres, etc.) como críticos com base no namespace do ativo Kubernetes e/ou no rótulo do ativo Kubernetes.
Tal como noutros casos críticos de proteção de ativos, o Defender para a Cloud tem em conta a criticidade dos ativos para priorização de risco, análise de caminho de ataque e explorador de segurança.
Aprimoramentos para detetar e responder a ameaças de contêiner
18 de novembro de 2024
Defender para a Cloud oferece um conjunto de novas funcionalidades para capacitar as equipas SOC a enfrentar ameaças de contentores em ambientes cloud-native com maior rapidez e precisão. Estas melhorias incluem Análise de Ameaças, capacidades GoHunt, resposta guiada pelo Microsoft Security Copilot e ações de resposta nativas na cloud para pods Kubernetes.
Apresentando ações de resposta nativas na nuvem para pods do Kubernetes (Pré-visualização)
O Defender para a Cloud oferece agora ações de resposta multicloud para pods Kubernetes, acessíveis exclusivamente a partir do portal Defender XDR. Esses recursos melhoram a resposta a incidentes para clusters AKS, EKS e GKE.
Seguem-se novas ações de resposta:
Isolamento de rede - Bloqueie instantaneamente todo o tráfego para um pod, impedindo o movimento lateral e a exfiltração de dados. Requer a configuração de política de rede no cluster Kubernetes.
Terminação de pods - Encerre rapidamente pods suspeitos, interrompendo atividades maliciosas sem interromper o aplicativo mais amplo.
Essas ações capacitam as equipes de SOC a conter ameaças de forma eficaz em ambientes de nuvem.
Relatório de análise de ameaças para contêineres
Estamos introduzindo um relatório dedicado de Análise de Ameaças, projetado para fornecer visibilidade abrangente de ameaças direcionadas a ambientes em contêineres. Este relatório equipa as equipes de SOC com insights para detetar e responder aos padrões de ataque mais recentes em clusters AKS, EKS e GKE.
Principais Destaques:
- Análise detalhada das principais ameaças e técnicas de ataque associadas em ambientes Kubernetes.
- Recomendações acionáveis para fortalecer sua postura de segurança nativa da nuvem e mitigar riscos emergentes.
GoHunt para pods Kubernetes & Azure resources
O GoHunt agora estende as suas capacidades de caça para incluir pods Kubernetes e recursos Azure, dentro do portal Defender XDR. Esse recurso aprimora a caça proativa a ameaças, permitindo que os analistas SOC conduzam investigações aprofundadas em cargas de trabalho nativas da nuvem.
Principais características:
- Capacidades avançadas de consulta para detetar anomalias em pods Kubernetes e recursos do Azure, oferecendo contexto mais rico para análise de ameaças.
- Integração perfeita com entidades Kubernetes para caça e investigação eficientes de ameaças.
Security Copilot Resposta Guiada para cápsulas Kubernetes
Apresentamos o Guided Response para cápsulas Kubernetes, uma funcionalidade alimentada pelo Security Copilot. Esse novo recurso fornece orientação passo a passo em tempo real, ajudando as equipes de SOC a responder às ameaças de contêiner de forma rápida e eficaz.
Principais Benefícios:
- Manuais de resposta contextual adaptados a cenários comuns de ataque do Kubernetes.
- Apoio especializado e em tempo real da Security Copilot, colmatando a lacuna de conhecimento e permitindo uma resolução mais rápida.
API Security Posture Management Integração Nativa no plano GPSC do Defender agora em pré-visualização pública
15 de novembro de 2024
As capacidades de gestão da postura de segurança da API (Preview) estão agora incluídas no plano GPSC do Defender e podem ser ativadas através de extensões dentro do plano na página de definições do ambiente. Para obter mais informações, consulte Melhorar sua postura de segurança da API (Visualização).
Proteção de contentor melhorada com avaliação de vulnerabilidades e detecção de malware para nós AKS (Pré-visualização)
13 de novembro de 2024
O Defender para a Cloud fornece agora avaliação de vulnerabilidades e deteção de malware para os nós do Azure Kubernetes Service (AKS), e proporciona clareza aos clientes quanto à responsabilidade partilhada de segurança que têm com o fornecedor de cloud gerida.
O fornecimento de proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço Kubernetes gerenciado.
Para receber as novas capacidades, tem de ativar a opção de varredura sem agente para máquinas na GPSC do Defender, Defender para Containers, ou Defender para o plano P2 de Servidores na sua subscrição.
Avaliação de vulnerabilidades
Uma nova recomendação está agora disponível no portal Azure: AKS nodes should have vulnerability findings resolved. Através desta recomendação, pode agora rever e corrigir vulnerabilidades e CVEs encontrados nos nós do Azure Kubernetes Service (AKS).
Deteção de malware
Novos alertas de segurança são acionados quando o recurso de deteção de malware sem agente deteta malware nos nós AKS.
A deteção de malware sem agentes utiliza o motor anti-malware Microsoft Defender Antivirus para analisar e detetar ficheiros maliciosos. Quando são detetadas ameaças, os alertas de segurança são encaminhados para o Defender para a Cloud e o Defender XDR, onde podem ser investigados e remediados.
Important
A deteção de malware para nós AKS está disponível apenas para ambientes com Defender for Containers ou Defender for Servers, com P2.
Documentação de alerta e ferramenta de simulação aprimorada do Kubernetes (K8s)
7 de novembro de 2024
Principais características
- Documentação de alerta baseada em cenários: os alertas do K8s agora são documentados com base em cenários do mundo real, fornecendo orientações mais claras sobre ameaças potenciais e ações recomendadas.
- Integração com Microsoft Defender para Endpoint (MDE): Os alertas são enriquecidos com contexto adicional e inteligência de ameaças do MDE, melhorando a sua capacidade de responder eficazmente.
- Nova ferramenta de simulação: Uma poderosa ferramenta de simulação está disponível para testar sua postura de segurança, simulando vários cenários de ataque e gerando alertas correspondentes.
Benefits
- Melhor compreensão de alertas: A documentação baseada em cenários fornece uma compreensão mais intuitiva dos alertas do K8s.
- Resposta aprimorada a ameaças: os alertas são enriquecidos com contexto valioso, permitindo respostas mais rápidas e precisas.
- Testes de segurança proativos: a nova ferramenta de simulação permite testar suas defesas de segurança e identificar possíveis vulnerabilidades antes que elas sejam exploradas.
Suporte aprimorado para classificação de dados confidenciais da API
6 de novembro de 2024
O Microsoft Defender para a Cloud estende capacidades de classificação de dados sensíveis da API Security aos parâmetros do caminho e da consulta da URL da API, juntamente com pedidos e respostas da API, incluindo a fonte da informação sensível encontrada nas propriedades da API. Essas informações estarão disponíveis na experiência de Análise de Caminho de Ataque, na página Detalhes Adicionais do Cloud Security Explorer quando as operações de Gerenciamento de API com dados confidenciais forem selecionadas e no Painel de Segurança da API na página Proteções de Carga de Trabalho na página de detalhes da coleção de APIs, com um novo menu de contexto lateral que fornece informações detalhadas sobre os dados confidenciais encontrados, permitindo que as equipes de segurança localizem e reduzam os riscos de exposição de dados de forma eficiente.
Note
Esta alteração incluirá um lançamento único para o Defender existente para APIs e clientes do GPSC do Defender.
Novo suporte para mapear endpoints do API Management do Azure API para o backend compute
6 de novembro de 2024
A postura de segurança da API do Defender para a Cloud suporta agora o mapeamento de endpoints da API publicados através do API Management do Azure Gateway para recursos de computação backend, como máquinas virtuais, no Defender Cloud Security Posture Management (GPSC do Defender) Cloud Security Explorer. Essa visibilidade ajuda a identificar o roteamento de tráfego de API para destinos de computação em nuvem de back-end, permitindo que você detete e resolva os riscos de exposição associados aos pontos de extremidade de API e seus recursos de back-end conectados.
Suporte reforçado de segurança de API para implementações multi-regionais do API Management do Azure e gestão de revisões de API
6 de novembro de 2024
A cobertura de segurança da API dentro do Defender para a Cloud terá agora suporte total para implementações multi-região do API Management do Azure, incluindo suporte total para postura de segurança e deteção de ameaças tanto para regiões primárias como secundárias
A integração e saída das APIs para o Defender passará a ser gerida ao nível da API do API Management do Azure. Todas as revisões API Management do Azure associadas serão automaticamente incluídas no processo, eliminando a necessidade de gerir a integração e a saída de cada revisão da API individualmente.
Esta alteração inclui uma implementação única do Defender existente para clientes de APIs.
Detalhes da distribuição:
- O lançamento ocorrerá durante a semana de 6 de novembro para os clientes existentes do Defender for APIs.
- Se a revisão 'atual' para uma API do API Management do Azure já estiver integrada no Defender para APIs, todas as revisões associadas a essa API serão automaticamente integradas no Defender para APIs.
- Se a revisão 'atual' para uma API do API Management do Azure não for integrada no Defender para APIs, quaisquer revisões associadas de API que tenham sido incorporadas ao Defender para APIs serão desintegradas.
Outubro de 2024
A experiência de migração do MMA já está disponível
Outubro 28, 2024
Agora pode garantir que todos os seus ambientes estão totalmente preparados para a descontinuação pós-agente Log Analytics (MMA) prevista para o final de novembro de 2024.
O Defender para a Cloud adicionou uma nova experiência que lhe permite agir em grande escala para todos os seus ambientes afetados:
- Faltam os pré-requisitos necessários para obter a cobertura de segurança total oferecida pelo Defender for Servers Plan 2.
- Isso está ligado ao Defender para Servidores Plano 2 usando a abordagem legada de integração via Log Analytics workspace.
- Esta utiliza a antiga versão de Monitorização da Integridade de Ficheiros (FIM) com a necessidade de Log Analytics agente (MMA) migrar para a nova versão melhorada FIM com Defender para Endpoint (MDE).
Saiba como usar a nova experiência de migração do MMA.
Conclusões de segurança para repositórios GitHub sem GitHub Advanced Security agora GA
Outubro 21, 2024
A capacidade de receber conclusões de segurança para configurações incorretas de infraestrutura como código (IaC), vulnerabilidades de contentores e fraquezas de código para repositórios GitHub sem GitHub Advanced Security está agora geralmente disponível.
Note que a varredura secreta, a digitalização de código usando GitHub CodeQL e a varredura de dependências ainda requerem GitHub Varredura Avançada.
Para saber mais sobre as licenças necessárias, consulte a página de suporte do DevOps. Para aprender a integrar o seu ambiente de GitHub para Defender para a Cloud, siga o guia de integração GitHub. Para saber como configurar o Microsoft Security DevOps GitHub Action, consulte a nossa documentação GitHub Ações.
Descontinuação de três padrões de conformidade
14 de outubro de 2024
Data prevista para alteração: 17 de novembro de 2024
Três normas de conformidade estão sendo removidas do produto:
- SWIFT CSP-CSCF v2020 (para Azure) - Esta foi substituída pela versão v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 e v1.3.0 - Temos duas versões mais recentes disponíveis (v1.4.0 e v2.0.0)
Saiba mais sobre as normas de conformidade disponíveis em Defender para a Cloud em Normas de conformidade disponíveis.
Depreciação de três normas Defender para a Cloud
8 de outubro de 2024
Data prevista para alteração: 17 de novembro de 2024
Para simplificar a gestão do Defender para a Cloud com contas AWS e projetos GCP, estamos a remover os seguintes três padrões Defender para a Cloud:
- Para AWS - AWS CSPM
- Para GCP - GCP CSPM e GCP Default
O padrão padrão, Microsoft Cloud Security Benchmark (MCSB), contém agora todas as avaliações que eram únicas para estas normas.
Deteção de deriva binária lançada com disponibilidade geral
9 de outubro de 2024
A deteção de desvio binário é agora lançada como GA no plano Defender for Container. Observe que a deteção de deriva binária agora funciona em todas as versões do AKS.
Recomendações atualizadas de tempo de execução de contêineres (visualização)
6 de outubro de 2024
As recomendações de pré-visualização para "Contentores a correr em AWS/Azure/GCP devem ter descobertas de vulnerabilidades resolvidas" são atualizadas para agrupar todos os contentores que fazem parte da mesma carga de trabalho numa única recomendação, reduzindo duplicações e evitando flutuações devido a contentores novos e terminados.
A partir de 6 de outubro de 2024, os seguintes IDs de avaliação são substituídos por estas recomendações:
| Recommendation | ID da avaliação anterior | Novo ID de avaliação |
|---|---|---|
| -- | -- | -- |
| Os contentores a correr no Azure devem ter descobertas de vulnerabilidades resolvidas | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Os contêineres executados na AWS devem ter as descobertas de vulnerabilidade resolvidas | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Os contêineres em execução no GCP devem ter as descobertas de vulnerabilidade resolvidas | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Se você estiver recuperando relatórios de vulnerabilidade dessas recomendações via API, atualize a chamada de API com a nova ID de avaliação.
Informações de identidade e acesso do Kubernetes no gráfico de segurança (pré-visualização)
6 de outubro de 2024
A informação de Identidade e Acesso Kubernetes é adicionada ao grafo de segurança, incluindo nós que representam todas as entidades relacionadas com o Kubernetes Role Based Controlo de Acesso (RBAC) (contas de serviço, funções, vinculações de papéis, etc.) e arestas que representam as permissões entre objetos Kubernetes. Os clientes agora podem consultar o gráfico de segurança do seu RBAC no Kubernetes e os relacionamentos relacionados entre entidades do Kubernetes (Pode autenticar-se como, Pode representar-se como, Concede função, Acesso definido por, Concede acesso a, Tem permissão para, etc.)
Caminhos de ataque do Kubernetes baseados em informações de Identidade e Acesso (pré-visualização)
6 de outubro de 2024
Utilizando os dados RBAC do Kubernetes no gráfico de segurança, o Defender para a Cloud agora deteta movimentos laterais do Kubernetes, Kubernetes para Cloud e internos do Kubernetes, e reporta outros caminhos de ataque onde os atacantes podem abusar da autorização do Kubernetes e da Cloud para se movimentar lateralmente para, a partir e dentro dos clusters Kubernetes.
Análise de caminho de ataque aprimorada para contêineres
6 de outubro de 2024
O novo mecanismo de análise de caminho de ataque lançado em novembro passado agora também suporta casos de uso de contêineres, detetando dinamicamente novos tipos de caminhos de ataque em ambientes de nuvem com base nos dados adicionados ao gráfico. Agora podemos encontrar mais caminhos de ataque para contêineres e detetar padrões de ataque mais complexos e sofisticados usados por invasores para se infiltrar em ambientes de nuvem e Kubernetes.
Descoberta completa de imagens de contêiner em registros suportados
6 de outubro de 2024
O Defender para a Cloud recolhe agora dados de inventário para todas as imagens de contentores nos registos suportados, proporcionando visibilidade total dentro do gráfico de segurança para todas as imagens nos seus ambientes cloud, incluindo imagens que atualmente não têm recomendações de postura.
Os recursos de consulta por meio do Cloud Security Explorer foram aprimorados para que os usuários possam agora pesquisar imagens de contêiner com base em seus metadados (resumo, repositório, sistema operacional, tag e etc.)
Inventário de software de contêineres com o Cloud Security Explorer
6 de outubro de 2024
Os clientes agora podem obter uma lista de software instalado em seus contêineres e imagens de contêiner por meio do Cloud Security Explorer. Essa lista também pode ser usada para obter rapidamente outras informações sobre o ambiente do cliente, como encontrar todos os contêineres e imagens de contêiner com software afetado por uma vulnerabilidade de dia zero, mesmo antes de uma CVE ser publicada.
Setembro de 2024
Melhorias na experiência do explorador de segurança na nuvem
Setembro 22, 2024
Data prevista para alteração: outubro de 2024
O Cloud Security Explorer está definido para melhorar o desempenho e a funcionalidade de grade, fornecer mais enriquecimento de dados em cada ativo de nuvem, melhorar as categorias de pesquisa e melhorar o relatório de exportação CSV com mais informações sobre os ativos de nuvem exportados.
Disponibilidade Geral de Monitorização da Integridade de Ficheiros baseada no Microsoft Defender para Endpoint
18 de setembro de 2024
A nova versão do File Integrity Monitoring baseada no Microsoft Defender para Endpoint é agora GA como parte do Defender for Servers Plan 2. A FIM permite-lhe:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detetando alterações suspeitas no conteúdo de arquivos.
Esta experiência FIM melhorada substitui a existente que estava destinada a ser descontinuada com a reforma do Log Analytics Agent (MMA). A experiência da FIM no MMA permanecerá apoiada até o final de novembro de 2024.
Com esta versão, é lançada uma experiência dentro do produto para permitir migrar a sua configuração FIM sobre MMA para a nova versão FIM over Defender para Endpoint.
Para informações sobre como ativar o FIM sobre Defender para o Endpoint, consulte Monitorização da Integridade de Ficheiros usando Microsoft Defender para Endpoint. Para obter informações sobre como desativar versões anteriores, consulte Migrar o Monitorização de Integridade de Ficheiros de Versões Anteriores.
A experiência de migração do FIM está disponível no Defender para a Cloud
18 de setembro de 2024
Foi lançada uma experiência dentro do produto para permitir migrar a sua configuração FIM sobre MMA para a nova versão FIM over Defender for Endpoint. Com esta experiência você pode:
- Revise o ambiente afetado com a versão anterior do FIM sobre MMA habilitada e a migração necessária.
- Exporte suas regras FIM atuais da experiência baseada em MMA e resida em espaços de trabalho
- Migre para assinaturas com P2 ativado com o novo FIM em cima do MDE.
Para usar a experiência de migração, navegue até o painel Configurações do ambiente e selecione o botão de migração do MMA na linha superior.
Desativação do recurso de provisionamento automático do MMA
18 de setembro de 2024 Como parte da desativação do agente MMA, o recurso de provisionamento automático que fornece a instalação e configuração do agente para clientes MDC também será descontinuado em duas fases.
Até o final de setembro de 2024, o provisionamento automático do MMA será desativado para clientes que não estão mais usando o recurso, bem como para assinaturas recém-criadas. Após o final de setembro, o recurso não poderá mais ser reativado nessas assinaturas.
Final de novembro de 2024- o provisionamento automático do MMA será desativado em assinaturas que ainda não o tenham desativado. A partir desse ponto, não será mais possível habilitar o recurso em assinaturas existentes.
Integração com o Power BI
15 de setembro de 2024
O Defender para a Cloud pode agora integrar-se com o Power BI. Esta integração permite-lhe criar relatórios e painéis personalizados usando os dados do Defender para a Cloud. Pode usar o Power BI para visualizar e analisar a sua postura de segurança, conformidade e recomendações de segurança.
Saiba mais sobre a nova integração com Power BI.
Atualização para os requisitos de rede multicloud do CSPM
11 de setembro de 2024
Data prevista para alteração: outubro de 2024
A partir de outubro de 2024, estamos adicionando mais endereços IP aos nossos serviços de descoberta multicloud para acomodar melhorias e garantir uma experiência mais eficiente para todos os usuários.
Para garantir o acesso ininterrupto dos nossos serviços, deve atualizar a sua lista de permissões de IP com os novos intervalos fornecidos aqui. Você deve fazer os ajustes necessários nas configurações de firewall, grupos de segurança ou quaisquer outras configurações que possam ser aplicáveis ao seu ambiente. A lista é suficiente para a funcionalidade completa da oferta básica (gratuita) do CSPM.
Descontinuação das funcionalidades do Defender for Servers
9 de setembro de 2024
Os controles de aplicativo adaptáveis e o endurecimento adaptativo de rede agora estão preteridos.
Quadro Nacional de Segurança (ENS) de Espanha adicionado ao painel de conformidade regulamentar para o Azure
9 de setembro de 2024
As organizações que desejam verificar a conformidade com o padrão ENS nos seus ambientes Azure podem agora fazê-lo usando o Defender para a Cloud.
A norma ENS aplica-se a todo o sector público em Espanha, bem como aos fornecedores que colaboram com a Administração. Estabelece princípios, requisitos e medidas de segurança básicos para proteger as informações e os serviços tratados eletronicamente. O objetivo é garantir o acesso, a confidencialidade, a integridade, a rastreabilidade, a autenticidade, a disponibilidade e a preservação dos dados.
Confira a lista completa de padrões de conformidade suportados.
Corrigir atualizações do sistema e recomendações de patches em suas máquinas
8 de setembro de 2024
Agora pode remediar atualizações do sistema e recomendações de correções nas suas máquinas com Azure Arc e VMs Azure. As atualizações e patches do sistema são cruciais para manter a segurança e a saúde das suas máquinas. As atualizações geralmente contêm patches de segurança para vulnerabilidades que, se não forem corrigidas, podem ser exploradas por invasores.
A informação sobre atualizações de máquina em falta é agora recolhida através do Gestor de Atualizações do Azure.
Para manter a segurança de suas máquinas para atualizações e patches do sistema, você precisará ativar as configurações de atualizações de avaliação periódica em suas máquinas.
Saiba como corrigir atualizações do sistema e recomendações de patches em suas máquinas.
A integração do ServiceNow agora inclui o módulo de conformidade de configuração
4 de setembro de 2024
A integração do plano CSPM da Defender para a Cloud com o ServiceNow inclui agora o módulo de Conformidade de Configuração do ServiceNow. Esse recurso permite que você identifique, priorize e corrija problemas de configuração em seus ativos de nuvem, reduzindo os riscos de segurança e melhorando sua postura geral de conformidade por meio de fluxos de trabalho automatizados e insights em tempo real.
Saiba mais sobre a integração do ServiceNow com Defender para a Cloud.
Defender for Storage (clássico) plano de proteção de armazenamento por transação não disponível para novas subscrições
4 de setembro de 2024
Data estimada para alteração: 5 de fevereiro de 2025
Após 5 de fevereiro de 2025, não poderá ativar o plano de proteção de armazenamento por transação Defender for Storage (clássico) legado, a menos que já esteja ativado na sua subscrição. Para mais informações, consulte Mudar para o novo Defender de Plano de Armazenamento.
A configuração de convidados do Azure Policy está agora geralmente disponível (GA)
1 de setembro de 2024
A configuração de convidados Azure Policy do Defender for Server está agora geralmente disponível (GA) para todos os clientes multicloud do Defender for Servers Plan 2. A Configuração de Convidado fornece uma experiência unificada para gerenciar linhas de base de segurança em todo o seu ambiente. Permite-lhe avaliar e aplicar configurações de segurança nos seus servidores, incluindo máquinas Windows e Linux, VMs Azure, AWS EC2 e instâncias GCP.
Aprenda a ativar a configuração Azure Policy máquina no seu ambiente.
Pré-visualização para suporte ao registo de contentores do Docker Hub pelo Defender for Containers
1 de setembro de 2024
Estamos a introduzir a pré-visualização pública da extensão de cobertura do Microsoft Defender for Containers para incluir registos externos, começando pelos registos de contentores do Docker Hub. Como parte da Microsoft Cloud Security Posture Management da sua organização, a extensão da cobertura aos registos de contentores do Docker Hub oferece os benefícios de digitalizar as imagens dos contentores do Docker Hub usando Gestão de vulnerabilidades do Microsoft Defender para identificar ameaças de segurança e mitigar potenciais riscos.
Para mais informações sobre esta funcionalidade, consulte Vulnerability Assessment para Docker Hub
Agosto de 2024
| Date | Category | Update |
|---|---|---|
| 28 de agosto | Preview | Nova versão do File Integrity Monitoring baseada em Microsoft Defender para Endpoint |
| Agosto de 22 | Descontinuação futura | Reforma da integração de alertas de Defender para a Cloud com alertas Azure WAF |
| 1 de agosto | disponibilidade geral | Habilitar Microsoft Defender para servidores SQL em máquinas em escala |
Nova versão do File Integrity Monitoring baseado no Microsoft Defender para Endpoint
28 de agosto de 2024
A nova versão do File Integrity Monitoring baseada no Microsoft Defender para Endpoint está agora em pré-visualização pública. Faz parte do Defender for Servers Plan 2. O portal permite-lhe:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detetando alterações suspeitas no conteúdo de arquivos.
Como parte deste lançamento, a experiência FIM via AMA deixará de estar disponível no portal Defender para a Cloud. A experiência da FIM no MMA permanecerá apoiada até o final de novembro de 2024. No início de setembro, será lançada uma experiência integrada no produto que permite migrar a sua configuração FIM sobre MMA para a nova versão FIM over Defender for Endpoint.
Para informações sobre como ativar o FIM sobre Defender para o Endpoint, consulte Monitorização da Integridade de Ficheiros usando Microsoft Defender para Endpoint. Para obter informações sobre como migrar de versões anteriores, consulte Migrar monitoramento de integridade de arquivos de versões anteriores.
Aposentação do Defender para a Cloud Alert integração com alertas WAF do Azure
22 de agosto de 2024
Data estimada para alteração: 25 de setembro de 2024
Defender para a Cloud alerta integração com alertas Azure WAF será retirado a 25 de setembro de 2024. Nenhuma ação é necessária do seu lado. Para Microsoft Sentinel clientes, pode configurar o conector Firewall de Aplicações Web do Azure .
Ativar o Microsoft Defender para servidores SQL em máquinas em escala
1 de agosto de 2024
Agora pode ativar o Microsoft Defender para servidores SQL em máquinas em escala em clouds governamentais. Esta funcionalidade permite-lhe ativar o Microsoft Defender para SQL em vários servidores ao mesmo tempo, poupando tempo e esforço.
Aprenda a ativar Microsoft Defender para servidores SQL em máquinas em escala.
Julho de 2024
Disponibilidade geral de recomendações avançadas de deteção e configuração para proteção de endpoint
31 de julho de 2024
Recursos aprimorados de deteção para soluções de proteção de endpoint e identificação aprimorada de problemas de configuração agora estão disponíveis para servidores multicloud. Estas atualizações estão incluídas no Defender for Servers Plan 2 e no Defender Cloud Security Posture Management (CSPM).
O recurso de recomendações aprimoradas usa varredura de máquina sem agente, permitindo a descoberta e avaliação abrangentes da configuração de soluções de deteção e resposta de endpoints suportadas. Quando problemas de configuração são identificados, as etapas de correção são fornecidas.
Com esta versão de disponibilidade geral, a lista de soluções suportadas é expandida para incluir mais duas ferramentas de deteção e resposta de endpoints:
- Plataforma Singularity by SentinelOne
- Córtex XDR
Descontinuação da proteção de rede adaptativa
31 de julho de 2024
Data prevista para alteração: 31 de agosto de 2024
O reforço adaptativo da rede do Defender for Server está a ser obsoleto.
A substituição de recursos inclui as seguintes experiências:
- Recomendação: As recomendações de proteção de rede adaptativa devem ser aplicadas em máquinas virtuais voltadas para a Internet [chave de avaliação: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alerta: Tráfego detetado a partir de endereços IP recomendados para bloqueio
Pré-visualização: As avaliações de segurança para GitHub já não requerem licenciamento adicional
Julho 22, 2024
Os utilizadores do GitHub no Defender para a Cloud já não precisam de uma licença GitHub Advanced Security para visualizar as conclusões de segurança. Isso se aplica a avaliações de segurança para fraquezas de código, configurações incorretas de infraestrutura como código (IaC) e vulnerabilidades em imagens de contêiner detetadas durante a fase de compilação.
Os clientes com GitHub Advanced Security continuarão a receber avaliações adicionais de segurança no Defender para a Cloud para credenciais expostas, vulnerabilidades em dependências open source e descobertas do CodeQL.
Para saber mais sobre a segurança DevOps em Defender para a Cloud, consulte o DevOps Security Overview. Para aprender a integrar o seu ambiente de GitHub para Defender para a Cloud, siga o guia de integração GitHub. Para aprender a configurar a Microsoft Security DevOps GitHub Action, consulte a nossa documentação GitHub Action.
Prazos atualizados para a descontinuação do MMA no Defender for Servers Plan 2
Julho 18, 2024
Data prevista para alteração: agosto de 2024
Com a iminente descontinuação de Log Analytics agente em agosto, todo o valor de segurança para a proteção do servidor em Defender para a Cloud dependerá da integração com Microsoft Defender para Endpoint (MDE) como agente único e com capacidades sem agente fornecidas pela plataforma cloud e varrimento de máquinas sem agente.
As seguintes capacidades têm prazos e planos atualizados, pelo que o suporte para elas em relação ao MMA será alargado para clientes do Defender para a Cloud até ao final de novembro de 2024:
File Integrity Monitoring (FIM): A versão prévia pública da nova versão do FIM sobre MDE está prevista para agosto de 2024. A versão GA do FIM, alimentada por Log Analytics agente, continuará a ser suportada por clientes existentes até ao final de novembro de 2024.
Security Baseline: como alternativa à versão baseada no MMA, a versão de pré-visualização atual baseada na Configuração de Convidados será lançada para disponibilidade geral em setembro de 2024. OS Security Baselines alimentados por Log Analytics agente continuarão a ser suportados para clientes existentes até ao final de novembro de 2024.
Para mais informações, consulte Prepare-se para a reforma do agente Log Analytics.
Descontinuação de recursos relacionados ao MMA como parte da aposentadoria do agente
Julho 18, 2024
Data prevista para alteração: agosto de 2024
Como parte da despreciação do Microsoft Monitoring Agent (MMA) e da estratégia atualizada Defender para implementação de servidores, todas as funcionalidades de segurança para Defender para servidores serão agora fornecidas através de um único agente (Defender para o Endpoint), ou através de capacidades de varrimento sem agente. Isto não exigirá dependência nem do MMA nem do Azure Monitoring Agent (AMA).
À medida que nos aproximamos da reforma do agente em agosto de 2024, as seguintes funcionalidades relacionadas com MMA serão removidas do portal Defender para a Cloud:
- Exibição do estado da instalação MMA nas lâminas Inventory e Resource Health.
- A capacidade de integrar novos servidores não Azure para Defender servidores através de espaços de trabalho Log Analytics será removida tanto das blades Inventário como das Getting Started.
Note
Recomendamos que os clientes atuais, que já integraram servidores on-premises usando a abordagem legacy, liguem agora estas máquinas através de servidores habilitados para Azure Arc. Recomendamos também ativar o Defender for Servers Plan 2 nas subscrições do Azure às quais estes servidores estão ligados.
Se ativaste seletivamente o Defender for Servers Plan 2 em VMs Azure específicas através da abordagem legacy, ativa o Defender for Servers Plan 2 nas subscrições Azure destas máquinas. Excluir máquinas individuais da Defender para cobertura de Servidores usando a Defender para Servidores
Estas medidas garantirão que não haja perda de cobertura de segurança devido à aposentação do agente Log Analytics.
Para manter a continuidade da segurança, aconselhamos os clientes com Defender para o Plano de Servidores 2 a permitir a digitalização sem agentes e a integração com Microsoft Defender para Endpoint nas suas subscrições.
Pode usar this workbook personalizado para acompanhar o seu património de Agente Log Analytics (MMA) e monitorizar o estado de implementação do Defender para servidores em Azure VMs e máquinas Azure Arc.
Para mais informações, consulte Prepare-se para a reforma do agente Log Analytics.
Pré-visualização pública do Binary Drift agora disponível no Defender for Containers
Estamos a apresentar a pré-visualização pública do Binary Drift para Defender for Containers. Esse recurso ajuda a identificar e mitigar possíveis riscos de segurança associados a binários não autorizados em seus contêineres. O Binary Drift identifica e envia alertas de forma autónoma sobre processos binários potencialmente nocivos dentro dos seus contentores. Além disso, permite a implementação de uma nova Política de Deriva Binária para controlar as preferências de alerta, oferecendo a capacidade de adaptar as notificações às necessidades específicas de segurança. Para obter mais informações sobre esse recurso, consulte Deteção de desvio binário
Scripts de remediação automatizados para AWS e GCP agora são GA
14 de julho de 2024
Em março, lançamos scripts de correção automatizados para AWS & GCP para visualização pública, que permitem corrigir recomendações para AWS & GCP em escala programática.
Hoje estamos lançando esse recurso para disponível em geral (GA). Saiba como usar scripts de correção automatizados.
Atualização de permissões de aplicações no GitHub
Julho 11, 2024
Data prevista para alteração: 18 de julho de 2024
A segurança DevOps no Defender para a Cloud está constantemente a fazer atualizações que exigem que os clientes com conectores GitHub no Defender para a Cloud atualizem as permissões da aplicação Microsoft Security DevOps no GitHub.
Como parte desta atualização, a aplicação GitHub irá exigir permissões de leitura GitHub Copilot Business. Esta permissão será usada para ajudar os clientes a proteger melhor as suas implementações no GitHub Copilot. Sugerimos atualizar o aplicativo o mais rápido possível.
As permissões podem ser concedidas de duas maneiras diferentes:
Na sua organização GitHub, navegue até à aplicação DevOps Microsoft Security dentro de Definições > GitHub Apps e aceite o pedido de permissões.
Num email automatizado do Suporte da GitHub, selecione Revisão pedido de permissão para aceitar ou rejeitar esta alteração.
As normas de conformidade são agora GA
Julho 10, 2024
Em março, adicionamos versões prévias de muitos novos padrões de conformidade para os clientes validarem seus recursos da AWS e do GCP.
Esses padrões incluíam CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 e ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Lei Geral de Proteção de Dados Pessoais (LGPD), California Consumer Privacy Act (CCPA) e muito mais.
Esses padrões de visualização agora estão geralmente disponíveis (GA).
Confira a lista completa de padrões de conformidade suportados.
Melhoria da experiência de inventário
9 de julho de 2024
Data prevista para alteração: 11 de julho de 2024
A experiência de inventário será atualizada para melhorar o desempenho, incluindo melhorias na lógica de consulta 'Open query' do painel no Azure Resource Graph. Atualizações à lógica por trás do cálculo de recursos do Azure podem resultar na contagem e apresentação de outros recursos.
Ferramenta de mapeamento de contentores para correr por defeito no GitHub
8 de julho de 2024
Data estimada para alteração: 12 de agosto de 2024
Com as capacidades de segurança DevOps no Gestão da Postura de Segurança da Cloud do Microsoft Defender (CSPM), pode mapear as suas aplicações cloud-native do código para a cloud para iniciar facilmente os fluxos de trabalho de remediação dos programadores e reduzir o tempo de remediação de vulnerabilidades nas suas imagens de contentores. Atualmente, deve configurar manualmente a ferramenta de mapeamento de imagens do contentor para correr na ação Microsoft Security DevOps no GitHub. Com esta alteração, o mapeamento de contentores será executado por defeito como parte da ação Microsoft Security DevOps. Saiba mais sobre a ação Microsoft Security DevOps.
junho de 2024
| Date | Category | Update |
|---|---|---|
| 27 de junho | disponibilidade geral | |
| 24 de junho | Update | Alteração de preços para Defender multicloud para Containers |
| 20 de junho | Descontinuação futura |
Lembrete da depreciação para recomendações adaptativas em Microsoft depreciação do Agente de Monitorização (MMA. Descontinuação estimada em agosto de 2024. |
| 10 de junho | Preview | Copilot em Defender para a Cloud |
| 10 de junho | Próxima atualização |
Ativação automática de avaliação de vulnerabilidades SQL usando configuração expressa em servidores não configurados. Atualização estimada: 10 de julho de 2024. |
| 3 de junho | Próxima atualização |
Mudanças no comportamento de recomendações de identidade Atualização estimada: 10 de julho de 2024. |
GA: Checkov IaC Scanning no Defender para a Cloud
Junho 27, 2024
Estamos a anunciar a disponibilidade geral da integração Checkov para a varredura Infrastructure-as-Code (IaC) através de Microsoft Security DevOps (MSDO). Como parte desta versão, o Checkov substituirá o TerraScan como um analisador IaC padrão que é executado como parte da interface de linha de comando (CLI) do MSDO. O TerraScan ainda pode ser configurado manualmente por meio das variáveis de ambiente do MSDO, mas não será executado por padrão.
As conclusões de segurança do Checkov apresentam como recomendações tanto para repositórios Azure DevOps como GitHub segundo as avaliações Azure DevOps os repositórios devem ter infraestrutura como código conclusões resolvidas e GitHub devem ter infraestrutura como código conclusões resolvidas.
Para saber mais sobre a segurança DevOps em Defender para a Cloud, consulte o DevOps Security Overview. Para aprender a configurar a CLI do MSDO, consulte a documentação Azure DevOps ou GitHub.
Atualização: Alteração nos preços do Defender for Containers em multicloud
24 de junho de 2024
Como o Defender for Containers em multicloud está agora disponível de forma geral, já não é gratuito. Para mais informações, consulte Microsoft Defender para a Cloud preços.
Descontinuação: Lembrete de descontinuação para recomendações adaptáveis
Junho 20, 2024
Data prevista para alteração: agosto de 2024
Como parte da MMA depreciativa e da estratégia de implementação atualizada Defender para servidores, as funcionalidades de segurança Defender para servidores serão fornecidas através do agente Microsoft Defender para Endpoint (MDE), ou através das capacidades de varredura sem agente. Nenhuma destas opções dependerá nem do MMA nem do Azure Monitoring Agent (AMA).
As Recomendações de Segurança Adaptativa, conhecidas como Adaptive Application Controls e Adaptive Network Hardening, serão descontinuadas. A versão atual do GA baseada no MMA e a versão prévia baseada no AMA serão preteridas em agosto de 2024.
Pré-visualização: Copilot em Defender para a Cloud
10 de junho de 2024
Estamos a anunciar a integração do Microsoft Security Copilot no Defender para a Cloud em pré-visualização pública. A experiência integrada da Copilot no Defender para a Cloud permite aos utilizadores colocar questões e obter respostas em linguagem natural. O Copilot pode ajudá-lo a compreender o contexto de uma recomendação, o efeito da implementação de uma recomendação, os passos necessários para implementar uma recomendação, auxiliar na delegação de recomendações e ajudar na correção de configurações incorretas no código.
Saiba mais sobre Microsoft Security Copilot em Defender para a Cloud.
Atualização: ativação automática da avaliação de vulnerabilidades do SQL
10 de junho de 2024
Data prevista para alteração: 10 de julho de 2024
Originalmente, a Avaliação de Vulnerabilidades SQL (VA) com Configuração Express só era ativada automaticamente nos servidores onde o Microsoft Defender for SQL foi ativado após a introdução do Configuração Express em dezembro de 2022.
Vamos atualizar todos os servidores SQL do Azure que tinham o Microsoft Defender for SQL ativado antes de dezembro de 2022 e que não tinham uma política SQL VA existente, para que a Avaliação de Vulnerabilidades SQL (SQL VA) seja automaticamente ativada com o Express Configuration.
- A implementação desta alteração será gradual, estendendo-se por várias semanas, e não requer qualquer ação por parte do utilizador.
- Esta alteração aplica-se aos SQL do Azure Servers, onde o Microsoft Defender for SQL foi ativado ao nível de subscrição do Azure.
- Os servidores com uma configuração clássica existente (válida ou inválida) não serão afetados por esta alteração.
- Após a ativação, a recomendação "Os bancos de dados SQL devem ter descobertas de vulnerabilidade resolvidas" pode aparecer e pode afetar sua pontuação segura.
Atualização: Alterações no comportamento de recomendações de identidade
3 de junho de 2024
Data prevista para alteração: julho de 2024
Estas alterações:
- O recurso avaliado passará a ser a identidade em vez da subscrição
- As recomendações não terão mais "subrecomendações"
- O valor do campo 'assessmentKey' na API será alterado para essas recomendações
Serão aplicadas as seguintes recomendações:
- Contas com permissões de proprietário em recursos do Azure devem estar ativadas com MFA
- Contas com permissões de escrita nos recursos do Azure devem estar ativadas com MFA
- Contas com permissões de leitura nos recursos do Azure devem estar ativadas como MFA
- Contas convidadas com permissões de proprietário nos recursos do Azure devem ser removidas
- Contas de convidados com permissões de escrita nos recursos do Azure devem ser removidas
- Contas de convidados com permissões de leitura nos recursos do Azure devem ser removidas
- Contas bloqueadas com permissões de proprietário nos recursos do Azure devem ser removidas
- Contas bloqueadas com permissões de leitura e escrita nos recursos do Azure devem ser removidas
- Um máximo de três proprietários devem ser designados para a sua subscrição
- Deve haver mais do que um proprietário atribuído à sua subscrição
maio de 2024
| Date | Category | Update |
|---|---|---|
| 30 de maio | disponibilidade geral | |
| 22 de maio | Update | Configurar notificações por e-mail para caminhos de ataque |
| 21 de maio | Update | Caça avançada em Microsoft Defender XDR inclui alertas e incidentes Defender para a Cloud |
| 9 de maio | Preview | Integração Checkov para varredura IaC em Defender para a Cloud |
| 7 de maio | disponibilidade geral | Gestão de permissões em Defender para a Cloud |
| 6 de maio | Preview | A gestão da postura de segurança multicloud AI está disponível para Azure e AWS. |
| 6 de maio | Pré-visualização limitada | Proteção contra ameaças para cargas de trabalho de IA em Azure. |
| 2 de maio | Update | Gestão de políticas de segurança. |
| 1 de maio | Preview | Defender para bases de dados open-source está agora disponível na AWS para instâncias da Amazon. |
| 1 de maio | Descontinuação futura |
Remoção do FIM sobre AMA e lançamento de uma nova versão sobre Defender para Endpoint. Depreciação estimada em agosto de 2024. |
GA: Deteção de malware sem agentes no Defender for Servers Plan 2
30 de maio de 2024
A deteção de malware sem agentes da Defender para a Cloud para Azure VMs, instâncias AWS EC2 e instâncias GCP VM está agora geralmente disponível como uma nova funcionalidade no Defender para o Plano de Servidores 2.
A deteção de malware sem agentes utiliza o motor anti-malware Microsoft Defender Antivirus para analisar e detetar ficheiros maliciosos. As ameaças detetadas ativam alertas de segurança diretamente para o Defender para a Cloud e Defender XDR, onde podem ser investigados e remediados. Saiba mais sobre a verificação de malware sem agente para servidores e a verificação sem agente para VMs.
Atualização: configurar notificações por e-mail para caminhos de ataque
Maio 22, 2024
Agora você pode configurar notificações por e-mail quando um caminho de ataque é detetado com um nível de risco especificado ou superior. Saiba como configurar notificações por e-mail.
Atualização: A caça avançada no Microsoft Defender XDR inclui alertas e incidentes do Defender para a Cloud
21 de maio de 2024
Os alertas e incidentes do Defender para a Cloud estão agora integrados com o Microsoft Defender XDR e podem ser acedidos no Microsoft Defender Portal. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem. Saiba mais sobre caça avançada na integração XDR.
Pré-visualização: Integração Checkov para digitalização IaC no Defender para a Cloud
9 de maio de 2024
A integração do Checkov para segurança DevOps no Defender para a Cloud está agora em pré-visualização. Essa integração melhora a qualidade e o número total de verificações de infraestrutura como código executadas pela CLI do MSDO ao verificar modelos de IAC.
Durante a visualização, Checkov deve ser explicitamente invocado através do parâmetro de entrada 'tools' para a CLI do MSDO.
Saiba mais sobre a segurança DevOps em Defender para a Cloud e como configurar a CLI MSDO para Azure DevOps e GitHub.
GA: Gestão de permissões no Defender para a Cloud
Maio 7, 2024
Gestão de permissões está agora geralmente disponível em Defender para a Cloud.
Pré-visualização: Gestão da postura de segurança multicloud da IA
Maio 6, 2024
A gestão da postura de segurança da IA está disponível em pré-visualização no Defender para a Cloud. Oferece capacidades de gestão de postura de segurança em IA para Azure e AWS, para melhorar a segurança dos seus pipelines e serviços de IA.
Saiba mais sobre a gestão da postura de segurança da IA.
Pré-visualização limitada: Proteção contra ameaças para cargas de trabalho de IA no Azure
Maio 6, 2024
A proteção contra ameaças para cargas de trabalho de IA no Defender para a Cloud está disponível em pré-visualização limitada. Este plano ajuda-o a monitorizar as suas aplicações com Azure OpenAI em tempo de execução para detetar atividades maliciosas, identificar e remediar riscos de segurança. Fornece insights contextuais sobre a proteção contra ameaças de cargas de trabalho de IA, integrando-se com IA Responsável e Microsoft Threat Intelligence. Os alertas de segurança relevantes estão integrados no portal Defender.
Saiba mais sobre a proteção contra ameaças para cargas de trabalho de IA.
GA: Gestão de políticas de segurança
2 de maio de 2024
A gestão de políticas de segurança em clouds (Azure, AWS, GCP) está agora geralmente disponível. Isso permite que as equipes de segurança gerenciem suas políticas de segurança de forma consistente e com novos recursos
Saiba mais sobre as políticas segurança em Microsoft Defender para a Cloud.
Pré-visualização: Defender para bases de dados open-source disponível na AWS
1 de maio de 2024
O Defender para bases de dados open-source na AWS está agora disponível em pré-visualização. Ele adiciona suporte para vários tipos de instância do Amazon Relational Database Service (RDS).
Saiba mais sobre Defender para bases de dados open-source e como enable Defender para bases de dados open-source na AWS.
Descontinuação: Remoção da MIF (com AMA)
1 de maio de 2024
Data prevista para alteração: agosto de 2024
Como parte da descontinuação da MMA e da estratégia de implementação atualizada do Defender para servidores, todas as funcionalidades de segurança Defender para servidores serão fornecidas através de um único agente (MDE), ou através de capacidades de varredura sem agente, sem dependência nem da MMA nem da AMA.
A nova versão do File Integrity Monitoring (FIM) over Microsoft Defender para Endpoint (MDE) permite-lhe cumprir os requisitos de conformidade monitorizando ficheiros e registos críticos em tempo real, auditando alterações e detetando alterações suspeitas no conteúdo dos ficheiros.
Como parte deste lançamento, a experiência FIM sobre AMA deixará de estar disponível através do portal Defender para a Cloud a partir de agosto de 2024. Para obter mais informações, consulte Experiência de monitoramento de integridade de arquivos - alterações e diretrizes de migração.
Para mais detalhes sobre a nova versão da API, veja Microsoft Defender para a Cloud APIs REST.
Abril de 2024
| Date | Category | Update |
|---|---|---|
| 16 de abril | Próxima atualização |
Alteração dos IDs de avaliação do CIEM. Atualização estimada: maio de 2024. |
| 15 de abril | disponibilidade geral | Defender para Containers está agora disponível para AWS e GCP. |
| 3 de abril | Update | A priorização de risco é agora a experiência padrão em Defender para a Cloud |
| 3 de abril | Update | Defender para atualizações de bases de dados relacionais de código aberto. |
Atualização: Alteração nos IDs de avaliação do CIEM
16 de abril de 2024
Data prevista para alteração: maio de 2024
As seguintes recomendações estão programadas para remodelação, o que resultará em alterações nos seus IDs de avaliação:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender para Containers para AWS e GCP
15 de abril de 2024
A deteção de ameaças em tempo de execução e a descoberta sem agentes para AWS e GCP no Defender for Containers estão agora geralmente disponíveis. Além disso, há um novo recurso de autenticação na AWS que simplifica o provisionamento.
Saiba mais sobre containers suportar matrix em Defender para a Cloud e como configurar configurar Defender para componentes Containers.
Atualização: Priorização de riscos
3 de abril de 2024
A priorização de risco é agora a experiência padrão no Defender para a Cloud. Esse recurso ajuda você a se concentrar nos problemas de segurança mais críticos em seu ambiente, priorizando recomendações com base nos fatores de risco de cada recurso. Os fatores de risco incluem o impacto potencial do problema de segurança que está sendo violado, as categorias de risco e o caminho de ataque do qual o problema de segurança faz parte. Saiba mais sobre a priorização de riscos.
Atualização: Defender para Open-Source Bases de Dados Relacionais
3 de abril de 2024
- Defender para PostgreSQL Flexible Servers pós-atualizações GA - A atualização permite aos clientes aplicar proteção para servidores flexíveis PostgreSQL existentes ao nível da subscrição, possibilitando total flexibilidade para permitir proteção por recurso ou para proteção automática de todos os recursos ao nível da subscrição.
- Defender para MySQL Flexible Servers Availability e GA - Defender para a Cloud expandiu o seu suporte para bases de dados relacionais open-source Azure incorporando MySQL Flexible Servers.
Esta versão inclui:
- Compatibilidade de alertas com alertas existentes para Defender for MySQL Single Servers.
- Capacitação de recursos individuais.
- Habilitação no nível da assinatura.
- As atualizações para servidores flexíveis Base de Dados do Azure para MySQL estão a ser implementadas nas próximas semanas. Se vires o erro
The server <servername> is not compatible with Advanced Threat Protection, podes esperar pela atualização ou abrir um ticket de suporte para atualizar o servidor mais cedo para uma versão suportada.
Se já está a proteger a sua subscrição com o Defender para bases de dados relacionais open-source, os seus recursos flexíveis do servidor são automaticamente ativados, protegidos e faturados. Foram enviadas notificações de faturação específicas por correio eletrónico para as subscrições afetadas.
Saiba mais sobre Microsoft Defender para bases de dados relacionais open-source.
Março de 2024
GA: Digitalização de imagens de contentores do Windows
31 de março de 2024
Estamos a anunciar a disponibilidade geral (GA) do suporte de imagens de contentores do Windows para digitalização pelo Defender for Containers.
Atualização: a exportação contínua agora inclui dados de caminho de ataque
25 de março de 2024
Estamos anunciando que a exportação contínua agora inclui dados de caminho de ataque. Esta funcionalidade permite-lhe transmitir dados de segurança para o Análise de Log no Azure Monitor, para Hubs de Eventos do Azure, ou para outra solução de Gestão de Informação e Eventos de Segurança (SIEM), Resposta Automatizada de Orquestração de Segurança (SOAR) ou solução de modelo clássico de implementação de TI.
Saiba mais sobre a exportação contínua.
Pré-visualização: A análise sem agente suporta VMs encriptadas CMK no Azure
Março 21, 2024
Até agora, a verificação sem agente cobria VMs criptografadas CMK na AWS e no GCP. Com esta versão, estamos também a concluir o suporte para o Azure. A funcionalidade emprega uma abordagem única de varredura para CMK no Azure:
- O Defender para a Cloud não trata da chave nem do processo de desencriptação. As chaves e a desencriptação são geridas de forma fluida pelo Azure Compute e são transparentes para o serviço de análise sem agente do Defender para a Cloud.
- Os dados do disco da VM não criptografados nunca são copiados ou recriptografados com outra chave.
- A chave original não é replicada durante o processo. A limpeza elimina os dados tanto da sua VM de produção como do snapshot temporário do Defender para a Cloud.
Durante a visualização pública, esse recurso não é ativado automaticamente. Se estiveres a usar Defender para servidores P2 ou GPSC do Defender e o teu ambiente tiver VMs com discos encriptados CMK, agora podes fazê-las analisar para vulnerabilidades, segredos e malware seguindo estes passos enablement.
Pré-visualização: Recomendações personalizadas baseadas no KQL para Azure
17 de março de 2024
Recomendações personalizadas baseadas no KQL para Azure estão agora em pré-visualização pública e suportadas para todas as clouds. Para obter mais informações, consulte Criar recomendações e padrões de segurança personalizados.
Atualização: Inclusão de recomendações DevOps no benchmark de segurança na cloud da Microsoft
13 de Março de 2024
Hoje, anunciamos que pode agora monitorizar a sua postura de segurança e conformidade DevOps no benchmark de segurança cloud <<>c0>Microsoft (MCSB), além de Azure, AWS e GCP. As avaliações de DevOps fazem parte do controle de Segurança de DevOps no MCSB.
O MCSB é uma estrutura que define princípios fundamentais de segurança na nuvem com base em padrões comuns do setor e estruturas de conformidade. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança agnósticas da nuvem.
Saiba mais sobre as recomendações DevOps que serão incluídas e o benchmark de segurança na cloud Microsoft.
GA: A integração com ServiceNow agora está disponível para o público em geral
12 de março de 2024
Estamos anunciando a disponibilidade geral (GA) da integração ServiceNow.
Pré-visualização: Proteção de ativos críticos no Microsoft Defender para a Cloud
12 de março de 2024
O Defender para a Cloud inclui agora uma funcionalidade de criticidade empresarial, utilizando o motor de ativos críticos do Microsoft Security Exposure Management, para identificar e proteger ativos importantes através da priorização de riscos, análise do caminho de ataque e cloud security explorer. Para mais informações, consulte Proteção de ativos críticos em Microsoft Defender para a Cloud (Pré-visualização).
Atualização: recomendações aprimoradas da AWS e do GCP com scripts de correção automatizados
12 de março de 2024
Estamos aprimorando as recomendações da AWS e do GCP com scripts de correção automatizados que permitem corrigi-los programaticamente e em escala. Saiba mais sobre scripts de correção automatizados.
Visualização: padrões de conformidade adicionados ao painel de conformidade
6 de março de 2024
Com base no feedback dos clientes, adicionámos padrões de conformidade em pré-visualização ao Defender para a Cloud.
Confira a lista completa de padrões de conformidade suportados
Estamos continuamente a trabalhar na adição e atualização de novos standards para ambientes Azure, AWS e GCP.
Saiba como atribuir um padrão de segurança.
Atualização: Defender para atualizações de bases de dados relacionais open-source
6 de março de 2024**
Data prevista para alteração: abril de 2024
Defender para PostgreSQL Flexible Servers pós-atualizações GA - A atualização permite aos clientes aplicar proteção para servidores flexíveis PostgreSQL existentes ao nível da subscrição, possibilitando total flexibilidade para permitir proteção por recurso ou para proteção automática de todos os recursos ao nível da subscrição.
Defender para Disponibilidade de Servidores Flexíveis MySQL e GA - Defender para a Cloud está prestes a expandir o seu suporte para bases de dados relacionais open-source Azure incorporando Servidores Flexíveis MySQL. Esta versão incluirá:
- Compatibilidade de alertas com alertas existentes para Defender for MySQL Single Servers.
- Capacitação de recursos individuais.
- Habilitação no nível da assinatura.
Se já está a proteger a sua subscrição com o Defender para bases de dados relacionais open-source, os seus recursos flexíveis do servidor são automaticamente ativados, protegidos e faturados. Foram enviadas notificações de faturação específicas por correio eletrónico para as subscrições afetadas.
Saiba mais sobre Microsoft Defender para bases de dados relacionais open-source.
Atualização: Alterações nas Ofertas de Conformidade e nas definições de Ações da Microsoft
3 de março de 2024
Data prevista para alteração: 30 de setembro de 2025
No dia 30 de setembro de 2025, os locais onde acede a duas funcionalidades de pré-visualização, a oferta de Conformidade e o Microsoft Actions, irão mudar.
A tabela que lista o estado de conformidade dos produtos da Microsoft (acedida a partir do botão Ofertas de conformidade na barra de ferramentas do painel de conformidade regulamentar conformidade regulamentar da Defender). Depois de este botão ser removido do Defender para a Cloud, continuará a conseguir aceder a esta informação usando o Portal de Confiança Service.
Para um subconjunto de controlos, Microsoft Ações era acessível a partir do botão Microsoft Ações (Pré-visualização) no painel de detalhes dos controlos. Após a remoção deste botão, pode visualizar Microsoft Ações visitando o Portal de Confiança Service da Microsoft para FedRAMP e acedendo ao documento do Plano de Segurança do Sistema Azure.
Atualização: Alterações no local de acesso às ofertas de Conformidade e às Ações da Microsoft
3 de março de 2024**
Data prevista para alteração: setembro de 2025
No dia 30 de setembro de 2025, os locais onde acede a duas funcionalidades de pré-visualização, a oferta de Conformidade e o Microsoft Actions, irão mudar.
A tabela que lista o estado de conformidade dos produtos da Microsoft (acedida a partir do botão Ofertas de conformidade na barra de ferramentas do painel de conformidade regulamentar conformidade regulamentar da Defender). Depois de este botão ser removido do Defender para a Cloud, continuará a conseguir aceder a esta informação usando o Portal de Confiança Service.
Para um subconjunto de controlos, Microsoft Ações era acessível a partir do botão Microsoft Ações (Pré-visualização) no painel de detalhes dos controlos. Após a remoção deste botão, pode visualizar Microsoft Ações visitando o Portal de Confiança Service da Microsoft para FedRAMP e acedendo ao documento do Plano de Segurança do Sistema Azure.
Depreciação: Avaliação de Vulnerabilidades do Defender para a Cloud Containers impulsionada pela aposentação da Qualys
3 de março de 2024
A Avaliação de Vulnerabilidades Defender para a Cloud Containers, alimentada pela Qualys, está a ser retirada de serviço. A aposentadoria será concluída até 6 de março e, até lá, os resultados parciais ainda podem aparecer tanto nas recomendações da Qualys quanto nos resultados da Qualys no gráfico de segurança. Qualquer cliente que tenha utilizado anteriormente esta avaliação deve atualizar para avaliações de vulnerabilidades para Azure com Gestão de vulnerabilidades do Microsoft Defender. Para informações sobre a transição para a oferta de avaliação de vulnerabilidades de contentores alimentada pela Gestão de vulnerabilidades do Microsoft Defender, consulte Transição de Qualys para Gestão de vulnerabilidades do Microsoft Defender.
Fevereiro de 2024
| Date | Category | Update |
|---|---|---|
| 28 de fevereiro | Deprecation | Microsoft Security Code Analysis (MSCA) já não está operacional. |
| 28 de fevereiro | Update | O gerenciamento atualizado de políticas de segurança expande o suporte à AWS e ao GCP. |
| 26 de fevereiro | Update | Cloud suporte para Defender para Containers |
| 20 de fevereiro | Update | Nova versão do sensor de Defender para Defender para Contentores |
| 18 de fevereiro | Update | Suporte à especificação do formato de imagem Open Container Initiative (OCI) |
| 13 de fevereiro | Deprecation | A avaliação de vulnerabilidade de contêineres da AWS com tecnologia Trivy foi aposentada. |
| 5 de fevereiro | Próxima atualização |
Descomissionamento de Microsoft. SecurityDevOps resource provider Esperado: 6 de março de 2024 |
Depreciação: Microsoft Security Code Analysis (MSCA) já não está operacional
28 de fevereiro de 2024
Em fevereiro de 2021, a descontinuação da tarefa MSCA foi comunicada a todos os clientes e já passou do suporte de fim de vida desde março de 2022. A partir de 26 de fevereiro de 2024, a MSCA deixou oficialmente de estar operacional.
Os clientes podem obter as mais recentes ferramentas de segurança DevOps desde Defender para a Cloud até Microsoft Security DevOps e mais ferramentas de segurança através do GitHub Advanced Security para Azure DevOps.
Atualização: o gerenciamento de políticas de segurança expande o suporte à AWS e ao GCP
28 de fevereiro de 2024
A experiência atualizada para gerir políticas de segurança, inicialmente lançada em Preview para Azure, está a expandir o seu suporte para ambientes cloud cruzados (AWS e GCP). Esta versão de pré-visualização inclui:
- Gestão normas de conformidade regulatória em Defender para a Cloud em ambientes Azure, AWS e GCP.
- Mesma experiência em interfaces multicloud para criar e gerir recomendações personalizadas Microsoft Cloud Security Benchmark (MCSB).
- A experiência atualizada é aplicada à AWS e ao GCP para criar recomendações personalizadas com uma consulta KQL.
Atualização: Suporte cloud para Defender for Containers
26 de fevereiro de 2024
As funcionalidades de deteção de ameaças do Azure Kubernetes Service (AKS) no Defender for Containers são agora totalmente suportadas em clouds comerciais, Azure Government e Azure China 21Vianet. Analise os recursos suportados.
Atualização: Nova versão do sensor Defender para Defender for Containers
Fevereiro 20, 2024
Uma nova versão do sensor Defender para Defender para Contentores está disponível. Ele inclui melhorias de desempenho e segurança, suporte para nós de arco AMD64 e Arm64 (somente Linux) e usa o Inspektor Gadget como o agente de coleta de processos em vez do Sysdig. A nova versão só é suportada nas versões 5.4 e superiores do kernel Linux, portanto, se você tiver versões mais antigas do kernel Linux, precisará atualizar. O suporte para Arm64 só está disponível a partir do AKS V1.29 e superior. Para obter mais informações, consulte Sistemas operacionais de host suportados.
Atualização: suporte à especificação do formato de imagem Open Container Initiative (OCI)
Fevereiro 18, 2024
A especificação do formato de imagem
Descontinuação: avaliação de vulnerabilidade de contêiner da AWS com tecnologia Trivy aposentada
Fevereiro 13, 2024
A avaliação de vulnerabilidade de contêineres fornecida pela Trivy foi aposentada. Qualquer cliente que anteriormente utilizasse esta avaliação deve atualizar para a nova avaliação de vulnerabilidades de contentores AWS, alimentada por Gestão de vulnerabilidades do Microsoft Defender. Para instruções sobre como atualizar, veja Como posso atualizar da avaliação de vulnerabilidades Trivy retirada para a avaliação AWS powered by Gestão de vulnerabilidades do Microsoft Defender?
Atualização: Descomissionamento da Microsoft. Fornecedor de recursos SecurityDevOps
5 de fevereiro de 2024
Data prevista para alteração: 6 de março de 2024
Microsoft Defender para a Cloud está a desativar o fornecedor de recursos Microsoft.SecurityDevOps que foi utilizado durante a pré-visualização pública da segurança DevOps, tendo migrado para o fornecedor existente Microsoft.Security. A razão para a mudança é melhorar as experiências do cliente, reduzindo o número de provedores de recursos associados aos conectores de DevOps.
Os clientes que ainda utilizam a versão da API 2022-09-01-preview sob Microsoft.SecurityDevOps para consultar dados de segurança DevOps Defender para a Cloud serão afetados. Para evitar interrupções no seu serviço, o cliente terá de atualizar para a nova versão da API 2023-09-01-preview sob o fornecedor Microsoft.Security.
Os clientes que atualmente utilizam a segurança do Defender para a Cloud DevOps a partir do portal Azure não serão afetados.
Janeiro de 2024
Atualização: novas informações para repositórios ativos no Cloud Security Explorer
31 de janeiro de 2024
Foi adicionada uma nova informação para repositórios Azure DevOps no Cloud Security Explorer para indicar se os repositórios estão ativos. Essa perceção indica que o repositório de código não está arquivado ou desativado, o que significa que o acesso de gravação a código, compilações e solicitações pull ainda está disponível para os usuários. Repositórios arquivados e desabilitados podem ser considerados de prioridade mais baixa, pois o código normalmente não é usado em implantações ativas.
Para testar a consulta através do Cloud Security Explorer, utilize esta ligação de consulta.
Atualização: Alteração no preço para deteção de ameaças de contêiner multicloud
30 de janeiro de 2024**
Data prevista para alteração: abril de 2024
Quando a deteção de ameaças de contêineres multicloud for transferida para o GA, ela não será mais gratuita. Para mais informações, consulte Microsoft Defender para a Cloud preços.
Atualização: Aplicação do GPSC do Defender para Valor de Segurança DevOps Premium
29 de janeiro de 2024**
Data prevista para alteração: 7 de março de 2024
Defender para a Cloud começará a aplicar a verificação do plano GPSC do Defender para o valor premium de segurança DevOps a partir de 7 de março de 2024. Se tiver o plano GPSC do Defender ativado num ambiente cloud (Azure, AWS, GCP) dentro do mesmo tenant onde os seus conectores DevOps foram criados, continuará a receber capacidades DevOps premium sem custos adicionais. Se não for cliente GPSC do Defender, tem até 7 de março de 2024 para ativar GPSC do Defender antes de perder o acesso a estas funcionalidades de segurança. Para permitir GPSC do Defender num ambiente cloud ligado antes de 7 de março de 2024, siga a documentação de habilitação detalhada aqui.
Para mais informações sobre quais as funcionalidades de segurança DevOps disponíveis tanto nos planos Foundational CSPM como GPSC do Defender, consulte a nossa documentação sobre a disponibilidade de funcionalidades.
Para mais informações sobre a Segurança DevOps em Defender para a Cloud, consulte a documentação visão geral.
Para mais informações sobre as capacidades de segurança de código para cloud em GPSC do Defender, consulte como proteger os seus recursos com GPSC do Defender.
Pré-visualização: Postura de contentor sem agente para GCP no Defender for Containers e GPSC do Defender
24 de janeiro de 2024
As novas capacidades de postura de contentor sem agente (Preview) estão disponíveis para GCP, incluindo avaliações de vulnerabilidades para GCP com Gestão de vulnerabilidades do Microsoft Defender. Para mais informações sobre todas as capacidades, veja Agentless posture in GPSC do Defender e Agentless capabilities in Defender for Containers.
Você também pode ler sobre o gerenciamento de postura de contêiner sem agente para multicloud nesta postagem do blog.
Pré-visualização: Análise de malware sem agente para servidores
16 de janeiro de 2024
Estamos a anunciar o lançamento da deteção de malware sem agentes da Defender para a Cloud para Azure máquinas virtuais (VM), instâncias AWS EC2 e instâncias GCP VM, como uma nova funcionalidade incluída no Defender para o Plano de Servidores 2.
A deteção de malware sem agente para VMs agora está incluída em nossa plataforma de verificação sem agente. A varredura de malware sem agentes utiliza o motor antimalware Microsoft Defender Antivírus para analisar e detetar ficheiros maliciosos. Qualquer ameaça detetada aciona alertas de segurança diretamente para o Defender para a Cloud e Defender XDR, onde podem ser investigados e remediados. O verificador de malware Agentless complementa a cobertura baseada em agente com uma segunda camada de deteção de ameaças com integração sem atrito e não tem efeito sobre o desempenho da sua máquina.
Saiba mais sobre a verificação de malware sem agente para servidores e a verificação sem agente para VMs.
Disponibilidade geral da integração do Defender para a Cloud com o Microsoft Defender XDR
15 de janeiro de 2024
Estamos a anunciar a disponibilidade geral (GA) da integração entre Defender para a Cloud e Microsoft Defender XDR (anteriormente Office 365 Defender).
A integração traz recursos competitivos de proteção de nuvem para o dia a dia do Security Operations Center (SOC). Com o Microsoft Defender para a Cloud e a integração com Defender XDR, as equipas SOC podem descobrir ataques que combinam deteções de múltiplos pilares, incluindo Cloud, Endpoint, Identity, Microsoft 365 e mais.
Saiba mais sobre alertas e incidentes em Microsoft Defender XDR.
Atualização: Papel incorporado de varredura de VM sem agente no Azure
14 de janeiro de 2024**
Data prevista da alteração: fevereiro de 2024
Em Azure, a varredura sem agente para VMs utiliza um papel incorporado (chamado Microsoft.Compute/DiskEncryptionSets/read. Essa permissão permite apenas uma melhor identificação do uso de disco criptografado em VMs. Não oferece Defender para a Cloud mais capacidades para desencriptar ou aceder ao conteúdo destes volumes encriptados para além dos métodos de encriptação já suportados antes desta alteração. Espera-se que esta alteração ocorra durante o mês de fevereiro de 2024 e não é necessária qualquer ação do seu lado.
Atualização: Anotações de Pull Request de segurança DevOps ativadas por defeito para conectores Azure DevOps
Janeiro 12, 2024
A segurança do DevOps expõe as descobertas de segurança como anotações em Pull Requests (PR) para ajudar os desenvolvedores a prevenir e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes que elas entrem em produção. A partir de 12 de janeiro de 2024, as anotações de PR estão agora ativadas por defeito para todos os repositórios Azure DevOps novos e existentes que estejam ligados ao Defender para a Cloud.
Por padrão, as anotações de RP são habilitadas apenas para descobertas de Infraestrutura como Código (IAC) de alta gravidade. Os clientes continuarão a precisar de configurar o Microsoft Security for DevOps (MSDO) para correr em compilações PR e ativar a política de Validação de Compilações para compilações CI nas definições do repositório Azure DevOps. Os clientes podem desativar o recurso de anotação PR para repositórios específicos nas opções de configuração do repositório do painel de segurança DevOps.
Saiba mais sobre ativar anotações de Pull Request para Azure DevOps.
Depreciação: Caminho de aposentação da avaliação de vulnerabilidades incorporada do Defender for Servers (Qualys)
9 de janeiro de 2024**
Data prevista para alteração: maio de 2024
A solução integrada de avaliação de vulnerabilidades Defender para servidores, alimentada pelo Qualys, está num percurso de reforma, que se prevê concluir a 1 de de maio de 2024. Se está atualmente a usar a solução de avaliação de vulnerabilidades alimentada pela Qualys, deve planear a sua transição para a solução integrada de gestão de vulnerabilidades Microsoft Defender.
Para mais informações sobre a nossa decisão de unificar a nossa oferta de avaliação de vulnerabilidades com a Gestão de vulnerabilidades do Microsoft Defender, pode ler este artigo de blog.
Também podes consultar as perguntas mais comuns sobre a transição para Gestão de vulnerabilidades do Microsoft Defender solução.
Atualização: Requisitos de rede multicloud do Defender para a Cloud
3 de janeiro de 2024**
Data prevista para alteração: maio de 2024
A partir de maio de 2024, vamos desativar os antigos endereços IP associados aos nossos serviços de descoberta multicloud para acomodar melhorias e garantir uma experiência mais segura e eficiente para todos os usuários.
Para garantir o acesso ininterrupto aos nossos serviços, deve atualizar a sua lista de permissões de IP com os novos intervalos fornecidos nas secções seguintes. Você deve fazer os ajustes necessários nas configurações de firewall, grupos de segurança ou quaisquer outras configurações que possam ser aplicáveis ao seu ambiente.
A lista é aplicável a todos os planos e suficiente para a plena capacidade da oferta fundamental (gratuita) do CSPM.
Endereços IP a serem retirados:
- Descoberta GCP: 104.208.29.200, 52.232.56.127
- AWS de descoberta: 52.165.47.219, 20.107.8.204
- Integração: 13.67.139.3
Novos intervalos de IP específicos da região a serem adicionados:
- Europa Ocidental: 52.178.17.48/28
- Norte da Europa: 13.69.233.80/28
- Centro dos EUA: 20.44.10.240/28
- Leste dos EUA 2: 20.44.19.128/28
Dezembro de 2023
Consolidação dos nomes de Nível de Serviço 2 do Defender para a Cloud
30 de dezembro de 2023
Estamos a consolidar os nomes legados de Nível de Serviço 2 para todos os planos Defender para a Cloud num único novo nome de Nível de Serviço 2, Microsoft Defender para a Cloud.
Atualmente, existem quatro nomes de Nível de Serviço 2: Azure Defender, Advanced Threat Protection, Advanced Data Security e Security Center. Os vários contadores para Microsoft Defender para a Cloud estão agrupados nestes nomes de Nível de Serviço 2, criando complexidades ao utilizar Gestão de Custos + Faturação, faturação e outras ferramentas relacionadas com faturação do Azure.
A alteração simplifica o processo de revisão das cobranças do Defender para a Cloud e proporciona maior clareza na análise de custos.
Para garantir uma transição suave, tomamos medidas para manter a consistência do nome do produto/serviço, SKU e IDs do medidor. Os clientes afetados receberão uma Notificação de Serviço Azure informativa para comunicar as alterações.
As organizações que recuperam dados de custo chamando nossas APIs precisarão atualizar os valores em suas chamadas para acomodar a alteração. Por exemplo, nesta função de filtro, os valores não retornarão nenhuma informação:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| Nome OLD Service Level 2 | NOVO nome do Nível de Serviço 2 | Nível de Serviço - Nível de Serviço 4 (Sem alteração) |
|---|---|---|
| Advanced Data Security | Microsoft Defender para a Cloud | Defender para SQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Registos de Contentores |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para DNS |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Key Vault |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender do Kubernetes |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para MySQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para PostgreSQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Resource Manager |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Armazenamento |
| Azure Defender | Microsoft Defender para a Cloud | Defender para Gestão de Surface de Ataque Externo |
| Azure Defender | Microsoft Defender para a Cloud | Defender para o Azure Cosmos DB |
| Azure Defender | Microsoft Defender para a Cloud | Defender para contentores |
| Azure Defender | Microsoft Defender para a Cloud | Defender para MariaDB |
| Centro de Segurança | Microsoft Defender para a Cloud | Defender para Serviço de Aplicações |
| Centro de Segurança | Microsoft Defender para a Cloud | Defender para Servidores |
| Centro de Segurança | Microsoft Defender para a Cloud | GPSC do Defender |
Defender para Servidores ao nível de recursos disponível como GA
24 de dezembro de 2023
Agora é possível gerir o Defender for Servers em recursos específicos dentro da sua subscrição, dando-lhe controlo total sobre a sua estratégia de proteção. Com esse recurso, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações definidas no nível da assinatura.
Saiba mais sobre Defender enabling para servidores ao nível de recursos.
Aposentadoria de conectores clássicos para multicloud
21 de dezembro de 2023
A experiência clássica do conector multicloud é desativada e os dados não são mais transmitidos para conectores criados por meio desse mecanismo. Estes conectores clássicos foram usados para ligar as recomendações do AWS Security Hub e GCP Security Command Center ao Defender para a Cloud e para integrar AWS EC2s ao Defender for Servers.
O valor total desses conectores foi substituído pela experiência nativa de conectores de segurança multicloud, que está disponível para AWS e GCP desde março de 2022 sem custo extra.
Os novos conectores nativos estão incluídos no seu plano e oferecem uma experiência de onboarding automatizada com opções para integrar contas individuais, múltiplas contas (com Terraform) e integração organizacional com provisionamento automático para os seguintes planos Defender: capacidades CSPM básicas gratuitas, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender para SQL e Defender para containers.
Lançamento da pasta de trabalho Cobertura
21 de dezembro de 2023
O Workbook de Cobertura permite-lhe acompanhar quais os planos Defender para a Cloud que estão ativos em que partes dos seus ambientes. Esta pasta de trabalho pode ajudá-lo a garantir que seus ambientes e assinaturas estejam totalmente protegidos. Ao ter acesso a informações detalhadas de cobertura, você também pode identificar quaisquer áreas que possam precisar de outra proteção e tomar medidas para resolver essas áreas.
Saiba mais sobre a pasta de trabalho Cobertura.
Disponibilidade geral do Containers Vulnerability Assessment powered by Gestão de vulnerabilidades do Microsoft Defender in Azure Government e Azure operado pela 21Vianet
14 de dezembro de 2023
A avaliação de vulnerabilidades (VA) para imagens de contentores Linux em registos de contentores do Azure alimentados pelo Gestão de vulnerabilidades do Microsoft Defender foi lançada para Disponibilidade Geral (GA) no Azure Government e Azure, operada pela 21Vianet. Esta nova versão está disponível nos planos Defender for Containers e Defender for Container Registries.
- Como parte dessa mudança, novas recomendações foram lançadas para a AG e incluídas no cálculo seguro da pontuação. Rever recomendações de segurança novas e atualizadas
- A varredura de imagens do contentor alimentada pela Gestão de vulnerabilidades do Microsoft Defender agora também incorre em custos de acordo com o preço plano. As imagens digitalizadas tanto pela nossa oferta VA de contentores alimentada por Qualys como pela oferta Container VA alimentada pelo Gestão de vulnerabilidades do Microsoft Defender serão faturadas apenas uma vez.
As recomendações da Qualys para a Avaliação de Vulnerabilidades de Containers foram renomeadas e continuam disponíveis para clientes que ativaram o Defender for Containers em qualquer uma das suas subscrições antes deste lançamento. Os novos clientes que incorporarem o Defender for Containers após esta versão só verão as novas recomendações de avaliação de vulnerabilidades do Container, alimentadas pelo Gestão de vulnerabilidades do Microsoft Defender.
Pré-visualização pública do suporte do Windows para Avaliação de Vulnerabilidades em Contentores, alimentada pelo Gestão de vulnerabilidades do Microsoft Defender
14 de dezembro de 2023
O suporte para imagens do Windows foi lançado em pré-visualização pública como parte da Vulnerability assessment (VA) com base no Gestão de vulnerabilidades do Microsoft Defender for Azure e nos Serviços Azure Kubernetes.
Aposentadoria da avaliação de vulnerabilidade de contêineres da AWS com tecnologia Trivy
13 de dezembro de 2023
A avaliação de vulnerabilidade de contêineres promovida pela Trivy está agora em um caminho de aposentadoria a ser concluído até 13 de fevereiro. Esse recurso agora foi preterido e continuará disponível para os clientes existentes que usam esse recurso até 13 de fevereiro. Incentivamos os clientes que utilizam esta funcionalidade a atualizarem para a nova avaliação de vulnerabilidades de contentores AWS alimentada por Gestão de vulnerabilidades do Microsoft Defender até 13 de fevereiro.
Postura de contentores sem agentes para AWS em Defender for Containers e GPSC do Defender (Pré-visualização)
13 de dezembro de 2023
Os novos recursos de postura de contêiner sem agente (Preview) estão disponíveis para a AWS. Para mais informações, consulte Agentless posture in GPSC do Defender e Agentless capabilities em Defender for Containers.
Suporte de disponibilidade geral para PostgreSQL Flexible Server no Defender para planos de bases de dados relacionais open-source
13 de dezembro de 2023
Estamos a anunciar a versão de disponibilidade geral (GA) do suporte para servidores flexíveis PostgreSQL no plano Microsoft Defender para bases de dados relacionais open-source. Microsoft Defender para bases de dados relacionais open-source fornece proteção avançada contra ameaças aos Servidores Flexíveis PostgreSQL, detetando atividades anómalas e gerando alertas segurança.
Aprenda a Habilitar Microsoft Defender para bases de dados relacionais open-source.
A avaliação de vulnerabilidades dos contentores alimentada pelo Gestão de vulnerabilidades do Microsoft Defender agora suporta o Google Distroless
12 de dezembro de 2023
As avaliações de vulnerabilidades dos contentores, impulsionadas pelo Gestão de vulnerabilidades do Microsoft Defender, foram alargadas com maior cobertura para pacotes de sistemas operativos Linux, agora suportando o Google Distroless.
Para uma lista de todos os sistemas operativos suportados, veja Registos e suporte de imagens para Azure - Avaliação de vulnerabilidades alimentada por Gestão de vulnerabilidades do Microsoft Defender.
Novembro de 2023
Quatro alertas foram preteridos
30 de novembro de 2023
Como parte do nosso processo de melhoria da qualidade, os seguintes alertas de segurança foram preteridos:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilidade geral de digitalização de segredos sem agente no Defender for Servers e no GPSC do Defender
27 de novembro de 2023
A varredura de segredos sem agente melhora a segurança das Máquinas Virtuais (VM) baseadas na nuvem ao identificar segredos de texto simples nos discos de VM. A verificação de segredos sem agente fornece informações abrangentes para ajudar a priorizar as descobertas detetadas e mitigar os riscos de movimento lateral antes que eles ocorram. Essa abordagem proativa impede o acesso não autorizado, garantindo que seu ambiente de nuvem permaneça seguro.
Estamos a anunciar a Disponibilidade Geral (GA) da digitalização de segredos sem agente, que está incluída tanto no Defender para os Servidores P2 como nos planos GPSC do Defender.
A verificação de segredos sem agente utiliza APIs na nuvem para capturar instantâneos de seus discos, conduzindo análises fora de banda que garantem que não haja efeito no desempenho da sua VM. A análise de segredos sem agente alarga a cobertura oferecida pelo Defender para a Cloud sobre ativos cloud em ambientes Azure, AWS e GCP, para melhorar a segurança da sua nuvem.
Com esta versão, as capacidades de deteção do Defender para a Cloud suportam agora outros tipos de bases de dados, URLs assinados para armazenamento de dados, tokens de acesso e muito mais.
Saiba como gerenciar segredos com a verificação de segredos sem agente.
Ativar a gestão de permissões com o Defender para a Cloud (Pré-visualização)
22 de novembro de 2023
Microsoft oferece agora tanto Cloud-Native Plataformas de Proteção de Aplicações (CNAPP) como soluções de Gestão de Direitos de Infraestrutura Cloud (CIEM) com Microsoft Defender para a Cloud (CNAPP) e gestão de permissões Microsoft Entra (CIEM).
Os administradores de segurança podem obter uma visão centralizada das suas permissões de acesso não utilizadas ou excessivas dentro do Defender para a Cloud.
As equipas de segurança podem conduzir os controlos de acesso com menos privilégios para recursos cloud e receber recomendações acionáveis para resolver riscos de permissões em ambientes cloud Azure, AWS e GCP, como parte do seu Defender Cloud Security Posture Management (CSPM), sem quaisquer requisitos adicionais de licenciamento.
Aprenda a Ativar a gestão de permissões em Microsoft Defender para a Cloud (Pré-visualização).
Integração do Defender para a Cloud com o ServiceNow
22 de novembro de 2023
O ServiceNow está agora integrado com o Microsoft Defender para a Cloud, que permite aos clientes ligar o ServiceNow ao seu ambiente Defender para a Cloud para priorizar a remediação de recomendações que afetam o seu negócio. O Microsoft Defender para a Cloud integra-se com o módulo ITSM (gestão de incidentes). Como parte desta ligação, os clientes podem criar/visualizar tickets ServiceNow (ligados a recomendações) do Microsoft Defender para a Cloud.
Pode saber mais sobre a integração da Defender para a Cloud com o ServiceNow.
Disponibilidade geral do processo de provisionamento automático para SQL Servers em máquinas
20 de novembro de 2023
Em preparação para a descontinuação do Microsoft Monitoring Agent (MMA) em agosto de 2024, o Defender para a Cloud lançou um processo de autoprovisionamento Azure Monitoring Agent (AMA) direcionado para o SQL Server. O novo processo é automaticamente ativado e configurado para todos os novos clientes, e também oferece a capacidade de ativação ao nível de recursos para VMs SQL do Azure e servidores SQL habilitados para Arc.
Os clientes que utilizam o processo de autoprovisionamento MMA são solicitados a migrar para o novo Azure Monitoring Agent for SQL Server em máquinas no processo de autoprovisionamento. O processo de migração é integrado e fornece proteção contínua a todas as máquinas.
Disponibilidade geral do Defender para APIs
15 de novembro de 2023
Estamos a anunciar a Disponibilidade Geral (GA) do Microsoft Defender para APIs. O Defender for APIs foi concebido para proteger as organizações contra ameaças à segurança das APIs.
O Defender for APIs permite que as organizações protejam as suas APIs e dados contra agentes maliciosos. As organizações podem investigar e melhorar sua postura de segurança de API, priorizar correções de vulnerabilidades e detetar e responder rapidamente a ameaças ativas em tempo real. As organizações também podem integrar alertas de segurança diretamente na sua plataforma de Gestão de Incidentes e Eventos de Segurança (SIEM), por exemplo o Microsoft Sentinel, para investigar e triagem de questões.
Pode aprender a proteger as suas APIs com Defender para APIs. Também pode aprender mais sobre Sobre Microsoft Defender para APIs.
Você também pode ler este blog para saber mais sobre o anúncio da AG.
O Defender para a Cloud está agora integrado com o Microsoft 365 Defender (Pré-visualização)
15 de novembro de 2023
As empresas podem proteger os seus recursos e dispositivos cloud com a nova integração entre o Microsoft Defender para a Cloud e o Microsoft Defender XDR. Essa integração conecta os pontos entre recursos de nuvem, dispositivos e identidades, que antes exigiam várias experiências.
A integração também traz recursos competitivos de proteção na nuvem para o dia a dia do Security Operations Center (SOC). Com o Microsoft Defender XDR, as equipas SOC podem facilmente descobrir ataques que combinam deteções de múltiplos pilares, incluindo Cloud, Endpoint, Identity, Microsoft 365 e outros.
Alguns dos principais benefícios incluem:
One interface fácil de usar para equipas SOC: Com os alertas e correlações cloud da Defender para a Cloud integrados no M365D, as equipas SOC podem agora aceder a toda a informação de segurança a partir de uma única interface, melhorando significativamente a eficiência operacional.
Uma história de ataque: os clientes são capazes de entender a história completa de ataque, incluindo seu ambiente de nuvem, usando correlações pré-criadas que combinam alertas de segurança de várias fontes.
Novas entidades cloud em Microsoft Defender XDR: Microsoft Defender XDR agora suporta novas entidades cloud que são únicas para Microsoft Defender para a Cloud, como recursos cloud. Os clientes podem fazer a correspondência entre entidades de máquina virtual (VM) e entidades de dispositivo, fornecendo uma exibição unificada de todas as informações relevantes sobre uma máquina, incluindo alertas e incidentes que foram acionados nela.
API Unificada para produtos Microsoft Security: Os clientes podem agora exportar os seus dados de alertas de segurança para os sistemas de sua preferência usando uma única API, uma vez que alertas e incidentes Microsoft Defender para a Cloud fazem agora parte da API pública da Microsoft Defender XDR.
A integração entre o Defender para a Cloud e o Microsoft Defender XDR está disponível para todos os clientes novos e existentes do Defender para a Cloud.
Disponibilidade geral da Avaliação de Vulnerabilidades de Containers com suporte do Gestão de vulnerabilidades do Microsoft Defender (MDVM) no Defender for Containers e no Defender for Container Registries
15 de novembro de 2023
A avaliação de vulnerabilidades (VA) para imagens de contentores Linux em registos de contentores do Azure, alimentada pelo Gestão de vulnerabilidades do Microsoft Defender (MDVM), foi lançada para Disponibilidade Geral (GA) no Defender for Containers e no Defender for Container Registries.
Como parte dessa alteração, as seguintes recomendações foram lançadas para GA e renomeadas, e agora estão incluídas no cálculo de pontuação segura:
| Nome da recomendação atual | Novo nome de recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registo de contentores devem ter descobertas de vulnerabilidades resolvidas (com base do Gestão de vulnerabilidades do Microsoft Defender) | As imagens do contentor do registo Azure devem ter vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender) | As avaliações de vulnerabilidade de imagem de contêiner verificam seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornecem um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| A execução de imagens de contentores deve ter descobertas de vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender) | Imagens de contentores a correr no Azure devem ter vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
A varredura de imagem de contêiner alimentada pelo MDVM agora também incorre em cobranças de acordo com o preço do plano.
Note
As imagens digitalizadas tanto pela nossa oferta de VA de contêiner alimentada pela Qualys quanto pela oferta de VA de contêiner alimentada por MDVM, serão cobradas apenas uma vez.
As recomendações Qualys abaixo para Avaliação de Vulnerabilidades de Containers foram renomeadas e continuarão disponíveis para clientes que ativaram o Defender for Containers em qualquer uma das suas subscrições antes de 15 de novembro. Novos clientes que incorporarem o Defender para Containers após 15 de novembro só verão as novas recomendações de avaliação de vulnerabilidades do Container, impulsionadas pelo Gestão de vulnerabilidades do Microsoft Defender.
| Nome da recomendação atual | Novo nome de recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | As imagens de contentores do registo Azure devem ter as vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | Imagens de contentores em execução do Azure devem ter vulnerabilidades resolvidas - (alimentado por Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Alterar para nomes de recomendação de Avaliações de Vulnerabilidade de Contêiner
As seguintes recomendações de Avaliação de Vulnerabilidade de Contêiner foram renomeadas:
| Nome da recomendação atual | Novo nome de recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | As imagens de contentores do registo Azure devem ter as vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | Imagens de contentores em execução do Azure devem ter vulnerabilidades resolvidas - (alimentado por Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
| As imagens do Registro de contêiner elástico devem ter as descobertas de vulnerabilidade resolvidas | As imagens de contêiner de registro da AWS devem ter vulnerabilidades resolvidas - (com tecnologia Trivy) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
A priorização de riscos já está disponível para recomendações
15 de novembro de 2023
Agora você pode priorizar suas recomendações de segurança de acordo com o nível de risco que elas representam, levando em consideração a capacidade de exploração e o potencial efeito comercial de cada problema de segurança subjacente.
Ao organizar suas recomendações com base em seu nível de risco (crítico, alto, médio, baixo), você é capaz de lidar com os riscos mais críticos em seu ambiente e priorizar de forma eficiente a correção de problemas de segurança com base no risco real, como exposição à Internet, sensibilidade de dados, possibilidades de movimento lateral e possíveis caminhos de ataque que poderiam ser mitigados com a resolução das recomendações.
Saiba mais sobre a priorização de riscos.
Análise de trajetória de ataque, novo mecanismo e aprimoramentos extensivos
15 de novembro de 2023
Estamos a lançar melhorias nas capacidades de análise do caminho de ataque no Defender para a Cloud.
Novo mecanismo - a análise de caminho de ataque tem um novo mecanismo, que usa algoritmo de localização de caminho para detetar todos os possíveis caminhos de ataque que existem em seu ambiente de nuvem (com base nos dados que temos em nosso gráfico). Podemos encontrar muitos mais caminhos de ataque em seu ambiente e detetar padrões de ataque mais complexos e sofisticados que os invasores podem usar para invadir sua organização.
Melhorias - As seguintes melhorias são lançadas:
- Priorização de risco - lista priorizada de caminhos de ataque com base no risco (exploração e efeito comercial).
- Remediação reforçada - identificar as recomendações específicas que devem ser resolvidas para realmente quebrar a cadeia.
- Caminhos de ataque entre nuvens – deteção de caminhos de ataque que são nuvens cruzadas (caminhos que começam em uma nuvem e terminam em outra).
- MITRE – Mapeando todos os caminhos de ataque para a estrutura MITRE.
- Experiência do usuário atualizada – experiência atualizada com recursos mais fortes: filtros avançados, pesquisa e agrupamento de caminhos de ataque para permitir uma triagem mais fácil.
Saiba como identificar e corrigir caminhos de ataque.
Alterações ao esquema de tabela Azure Resource Graph da Attack Path
15 de novembro de 2023
O esquema de tabela Azure Resource Graph do caminho de ataque é atualizado. A attackPathType propriedade é removida e outras propriedades são adicionadas.
Versão de disponibilidade geral do suporte GCP no GPSC do Defender
15 de novembro de 2023
Estamos a anunciar o lançamento GA (Disponibilidade Geral) do grafo contextual de segurança na nuvem GPSC do Defender e da análise do caminho de ataque, com suporte para recursos GCP. Pode aplicar o poder do GPSC do Defender para uma visibilidade abrangente e segurança inteligente na cloud em todos os recursos do GCP.
Os principais recursos do nosso suporte GCP incluem:
- Análise de caminho de ataque - Entenda as rotas potenciais que os invasores podem tomar.
- Explorador de segurança na nuvem - Identifique proativamente os riscos de segurança executando consultas baseadas em gráficos no gráfico de segurança.
- Verificação sem agente - Analise servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados - Descubra e corrija riscos para dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções de planos GPSC do Defender.
Note
A faturação para a versão GA do suporte GCP no GPSC do Defender começará a 1 de fevereiro de 2024.
Versão de disponibilidade geral do painel de segurança de dados
15 de novembro de 2023
O painel de segurança de dados está agora disponível em Disponibilidade Geral (GA) como parte do plano GPSC do Defender.
O painel de segurança de dados permite que você visualize o patrimônio de dados da sua organização, os riscos para dados confidenciais e informações sobre seus recursos de dados.
Saiba mais sobre o painel de segurança de dados.
Versão de disponibilidade geral da descoberta de dados confidenciais para bancos de dados
15 de novembro de 2023
A descoberta de dados sensíveis para bases de dados geridas, incluindo bases de dados SQL do Azure e instâncias AWS RDS (todas as versões de RDBMS), está agora geralmente disponível e permite a descoberta automática de bases de dados críticas que contêm dados sensíveis.
Para ativar esta funcionalidade em todos os repositórios de dados suportados nos seus ambientes, precisa de ativar o Sensitive data discovery em GPSC do Defender. Aprenda como permitir a descoberta de dados sensíveis em GPSC do Defender.
Você também pode aprender como a descoberta de dados confidenciais é usada na postura de segurança com reconhecimento de dados.
Anúncio de Pré-visualização Pública: Nova visibilidade alargada da segurança de dados multicloud em Microsoft Defender para a Cloud.
Nova versão da recomendação para encontrar atualizações do sistema ausentes agora é GA
6 de novembro de 2023
Já não é necessário um agente extra nas suas VMs Azure e Azure Arc para garantir que as máquinas têm todas as atualizações de segurança ou críticas do sistema mais recentes.
A recomendação de novas atualizações do sistema, System updates should be installed on your machines (powered by Gestor de Atualizações do Azure) no controlo Apply system updates, baseia-se no Update Manager e é agora totalmente GA. A recomendação baseia-se num agente nativo embutido em todas as máquinas Azure VM e Azure Arc em vez de um agente instalado. A correção rápida na nova recomendação direciona você para uma instalação única das atualizações ausentes no portal do Update Manager.
A versão antiga e a nova das recomendações para encontrar atualizações de sistema ausentes estarão disponíveis até agosto de 2024, que é quando a versão mais antiga foi preterida. Ambas as recomendações: System updates should be installed on your machines (powered by Gestor de Atualizações do Azure)e System updates should be installed on your machines estão disponíveis sob o mesmo controlo: Apply system updates e têm os mesmos resultados. Assim, não há duplicação no efeito sobre a pontuação segura.
Recomendamos migrar para a nova recomendação e remover a antiga, desativando-a da iniciativa incorporada do Defender para a Cloud no Azure.
A recomendação [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) também é GA e é um pré-requisito, o que terá um efeito negativo no seu Secure Score. Você pode corrigir o efeito negativo com a correção disponível.
Para aplicar a nova recomendação, é necessário:
- Ligue as suas máquinas que não sejam Azure ao Arc.
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)para corrigir a recomendação.
Note
Ativar avaliações periódicas para máquinas com Arc que Defender para o Plano 2 dos Servidores não está ativado na subscrição ou conector relacionado, está sujeito a preços Gestor de Atualizações do Azure. Máquinas habilitadas por Arc que Defender para o Plano de Servidores 2 estejam ativadas na sua subscrição ou conectores relacionados, ou em qualquer VM Azure, são elegíveis para esta funcionalidade sem custo adicional.
Outubro de 2023
Alterar o aplicativo adaptável controla a gravidade do alerta de segurança
Data do anúncio: 30 de outubro de 2023
Como parte do processo de melhoria da qualidade dos alertas de segurança do Defender para servidores, e como parte da funcionalidade >
| Alerta [Tipo de alerta] | Descrição do alerta |
|---|---|
| A violação da política de controle de aplicativos adaptáveis foi auditada. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos. |
Para continuar a visualizar este alerta na página "Alertas de segurança" no portal Microsoft Defender para a Cloud, altere o filtro de visualização predefinido Gravidade para incluir alertas informativos na grelha.
Revisões offline do API Management do Azure removidas do Defender para APIs
25 de outubro de 2023
O Defender for APIs atualizou o seu suporte para revisões da API do API Management do Azure. As revisões offline já não aparecem no inventário integrado do Defender para APIs e já não parecem estar integradas ao Defender para APIs. As revisões off-line não permitem que nenhum tráfego seja enviado para eles e não representam nenhum risco do ponto de vista da segurança.
Recomendações de gerenciamento de postura de segurança do DevOps disponíveis em visualização pública
19 de outubro de 2023
Novas recomendações de gestão de postura DevOps estão agora disponíveis em pré-visualização pública para todos os clientes com um conector para Azure DevOps ou GitHub. O gerenciamento de postura de DevOps ajuda a reduzir a superfície de ataque de ambientes de DevOps, descobrindo fraquezas nas configurações de segurança e controles de acesso. Saiba mais sobre o gerenciamento de postura de DevOps.
Lançar CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulamentar
18 de outubro de 2023
Microsoft Defender para a Cloud agora suporta o mais recente Benchmark CIS Azure Security Foundations - versão 2.0.0 no Regulatory Compliance dashboard, e uma iniciativa política integrada em Azure Policy. O lançamento da versão 2.0.0 no Microsoft Defender para a Cloud é um esforço conjunto entre a Microsoft, o Center for Internet Security (CIS) e as comunidades de utilizadores. A versão 2.0.0 expande significativamente o âmbito da avaliação, que agora inclui 90+ políticas incorporadas do Azure e sucedem as versões anteriores 1.4.0, 1.3.0 e 1.0 no Microsoft Defender para a Cloud e Azure Policy. Para obter mais informações, você pode conferir esta postagem no blog.
Setembro de 2023
Alteração para o limite diário do Log Analytics
Azure monitor oferece a capacidade de definir um limite diário sobre os dados que são ingeridos nos seus espaços de trabalho de análise de logs. No entanto, os eventos de segurança do Defender para a Cloud atualmente não são suportados nessas exclusões.
O Log Analytics Daily Cap já não exclui o seguinte conjunto de tipos de dados:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Todos os tipos de dados faturáveis serão limitados se o limite diário for atingido. Essa alteração melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.
Saiba mais sobre espaços de trabalho com Microsoft Defender para a Cloud.
Painel de segurança de dados disponível em pré-visualização pública
27 de setembro de 2023
O painel de segurança de dados está agora disponível em pré-visualização pública como parte do plano GPSC do Defender. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina riscos significativos para dados confidenciais, priorizando alertas e possíveis caminhos de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.
Versão prévia: Novo plano de processo de autoprovisionamento para SQL Server em máquinas
21 de setembro de 2023
O Microsoft Monitoring Agent (MMA) será descontinuado em agosto de 2024. Defender para a Cloud atualizou a sua estratégia substituindo o MMA pelo lançamento de um processo de autoprovisionamento Azure Monitoring Agent direcionado para SQL Server.
Durante a pré-visualização, os clientes que utilizam o processo de autoprovisionamento MMA com Azure Monitor opção Agente (Pré-visualização) são convidados a migrar para o novo processo de autoprovisionamento do Azure Monitoring Agent for SQL Server on Machines (Pré-visualização. O processo de migração é integrado e fornece proteção contínua a todas as máquinas.
Para mais informações, consulte Migrar para o processo de autoprovisionamento do Azure Monitoring Agent direcionado a SQL para servidores.
GitHub Advanced Security for Azure DevOps alerts in Defender para a Cloud
20 de setembro de 2023
Agora pode visualizar alertas GitHub Advanced Security for Azure DevOps (GHAzDO) relacionados com CodeQL, segredos e dependências no Defender para a Cloud. Os resultados são exibidos na página DevOps e em Recomendações. Para ver estes resultados, integre os seus repositórios habilitados pelo GHAzDO ao Defender para a Cloud.
Saiba mais sobre GitHub Segurança Avançada para Azure DevOps.
Funcionalidade isenta agora disponível para o Defender para recomendações de APIs
11 de setembro de 2023
Agora pode isentar recomendações para as seguintes recomendações de segurança do Defender for APIs.
| Recommendation | Descrição da política relacionada com & | Severity |
|---|---|---|
| (Pré-visualização) Endpoints API que não sejam utilizados devem ser desativados e removidos do serviço API Management do Azure | Como boa prática de segurança, endpoints de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço API Management do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Estas podem ser APIs que deveriam ter sido obsoletas do serviço API Management do Azure, mas que foram deixadas ativas por engano. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | Low |
| (Pré-visualização) Endpoints API no API Management do Azure devem ser autenticados | Os endpoints de API publicados no API Management do Azure devem impor autenticação para ajudar a minimizar riscos de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no API Management do Azure, esta recomendação avalia a execução da autenticação através das Chaves de Subscrição, JWT e Certificado de Cliente configurados dentro do API Management do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação. | High |
Saiba mais sobre as recomendações de isenção em Defender para a Cloud.
Crie alertas de exemplo para o Defender para deteções de APIs
11 de setembro de 2023
Agora pode gerar alertas de exemplo para as deteções de segurança que foram lançadas como parte da pré-visualização pública do Defender for APIs. Saiba mais sobre alertas geradores de amostras em Defender para a Cloud.
Versão prévia: avaliação de vulnerabilidades de contentores alimentada pelo Gestão de vulnerabilidades do Microsoft Defender agora suporta scan on pull
6 de setembro de 2023
A avaliação de vulnerabilidades dos contentores, alimentada pelo Gestão de vulnerabilidades do Microsoft Defender, suporta agora um gatilho adicional para a digitalização de imagens retiradas de um ACR. Este gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes digitalizando imagens enviadas para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.
O novo gatilho começará a ser lançado hoje e deverá estar disponível para todos os clientes até o final de setembro.
Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
6 de setembro de 2023
O formato de nomenclatura dos benchmarks de fundamentos do CIS (Center for Internet Security) no painel de conformidade é alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Veja a seguinte tabela:
| Nome Atual | Novo nome |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Fundações v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Fundações v1.2.0 |
Saiba como melhorar a sua conformidade regulamentar.
Descoberta de dados confidenciais para bancos de dados PaaS (Visualização)
5 de setembro de 2023
As capacidades da postura de segurança consciente dos dados para descoberta de dados sensíveis sem atritos em bases de dados PaaS (Bases de Dados SQL do Azure e Instâncias Amazon RDS de qualquer tipo) estão agora em pré-visualização pública. Essa visualização pública permite que você crie um mapa de seus dados críticos onde quer que eles residam e o tipo de dados encontrados nesses bancos de dados.
A descoberta de dados sensíveis para bases de dados Azure e AWS contribui para a taxonomia e configuração partilhadas, que já estão publicamente disponíveis para recursos de armazenamento de objetos na nuvem (Armazenamento de Blobs do Azure, buckets AWS S3 e buckets de armazenamento GCP) e proporciona uma experiência única de configuração e capacitação.
As bases de dados são analisadas semanalmente. Se você habilitar sensitive data discoveryo , a descoberta será executada dentro de 24 horas. Os resultados podem ser visualizados no Cloud Security Explorer ou revisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.
A postura de segurança consciente dos dados para bases de dados está disponível através do plano GPSC do Defender, e é ativada automaticamente em subscrições onde a opção sensitive data discovery está ativada.
Você pode saber mais sobre a postura de segurança com reconhecimento de dados nos seguintes artigos:
- Suporte e pré-requisitos para uma postura de segurança com reconhecimento de dados
- Habilite a postura de segurança com reconhecimento de dados
- Explore os riscos para dados confidenciais
Disponibilidade Geral (GA): digitalização de malware no Defender for Storage
1 de setembro de 2023
A análise de malware está agora geralmente disponível (GA) como um complemento ao Defender for Storage. A análise de malware no Defender for Storage ajuda a proteger as suas contas de armazenamento contra conteúdos maliciosos, realizando uma análise completa de malware ao conteúdo carregado quase em tempo real, utilizando as capacidades do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. O recurso de verificação de malware é uma solução SaaS sem agente que permite a configuração em escala e suporta a automação da resposta em escala.
Saiba mais sobre a análise de malware em Defender para Armazenamento.
O preço da verificação de malware é calculado de acordo com o seu uso de dados e orçamento. O faturamento começa em 3 de setembro de 2023. Visite a página de preços para obter mais informações.
Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.
Leia o artigo de anúncio Microsoft Defender para a Cloud no blog.
Agosto de 2023
As atualizações em agosto incluem:
Defender For Containers: Descoberta sem agente para Kubernetes
30 de agosto de 2023
Estamos entusiasmados por apresentar ao Defender For Containers: descoberta sem agente para Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos de inventário abrangentes para ambientes Kubernetes. A nova oferta de contentores é alimentada pelo grafo contextual de segurança do Defender para a Cloud. Aqui está o que você pode esperar desta última atualização:
- Descoberta do Kubernetes sem agente
- Recursos abrangentes de inventário
- Informações de segurança específicas do Kubernetes
- Caça ao risco aprimorada com o Cloud Security Explorer
A descoberta sem agente para Kubernetes está agora disponível para todos os clientes da Defender For Containers. Você pode começar a usar esses recursos avançados hoje mesmo. Encorajamo-lo a atualizar as suas subscrições para ter o conjunto completo de extensões ativado e beneficiar das mais recentes adições e funcionalidades. Visite o painel Ambiente e definições do seu Defender para subscrição Containers para ativar a extensão.
Note
Ativar as últimas adições não trará novos custos para os clientes ativos do Defender for Containers.
Para mais informações, consulte Overview of Container Security Microsoft Defender for Containers.
Release de recomendação: O Microsoft Defender for Storage deve estar ativado com varredura de malware e deteção de ameaças de dados sensíveis
22 de agosto de 2023
Foi lançada uma nova recomendação no Defender for Storage. Esta recomendação garante que o Defender for Storage está ativado ao nível da subscrição, com capacidades de análise de malware e deteção de ameaças de dados sensíveis.
| Recommendation | Description |
|---|---|
| O Microsoft Defender for Storage deve estar ativado com varredura de malware e deteção de ameaças de dados sensíveis | O Microsoft Defender for Storage deteta potenciais ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano Defender for Storage inclui análise de malware e deteção de ameaças de dados sensíveis. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. Com uma configuração simples sem agente em escala, quando ativada no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas sob essa assinatura serão automaticamente protegidas. Também pode excluir contas de armazenamento específicas de subscrições protegidas. |
Esta nova recomendação substitui a recomendação atual Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, esta recomendação continuará disponível nas clouds Azure Government.
Saiba mais sobre Microsoft Defender para Armazenamento.
As propriedades estendidas no Defender para a Cloud alertas de segurança são mascaradas pelos registos de atividade
17 de agosto de 2023
Recentemente, alterámos a forma como os alertas de segurança e os registos de atividades são integrados. Para proteger melhor as informações confidenciais dos clientes, não incluímos mais essas informações nos registros de atividades. Em vez disso, mascaramo-lo com asteriscos. No entanto, esta informação continua disponível através da API de alertas, exportação contínua e do portal Defender para a Cloud.
Os clientes que dependem dos registos de atividade para exportar alertas para as suas soluções SIEM devem considerar usar uma solução diferente, pois não é o método recomendado para exportar alertas de segurança do Defender para a Cloud.
Para instruções sobre como exportar alertas de segurança Defender para a Cloud para SIEM, SOAR e outras aplicações de terceiros, consulte Stream alerts para uma solução SIEM, SOAR ou de Gestão de Serviços TI.
Versão de pré-visualização do suporte ao GCP no GPSC do Defender
15 de agosto de 2023
Estamos a anunciar a versão prévia do grafo contextual de segurança na nuvem GPSC do Defender e da análise do caminho de ataque, com suporte para recursos GCP. Pode aplicar o poder do GPSC do Defender para uma visibilidade abrangente e segurança inteligente na cloud em todos os recursos do GCP.
Os principais recursos do nosso suporte GCP incluem:
- Análise de caminho de ataque - Entenda as rotas potenciais que os invasores podem tomar.
- Explorador de segurança na nuvem - Identifique proativamente os riscos de segurança executando consultas baseadas em gráficos no gráfico de segurança.
- Verificação sem agente - Analise servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados - Descubra e corrija riscos para dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções de planos GPSC do Defender.
Novos alertas de segurança no Defender for Servers Plan 2: Deteção de potenciais ataques que abusam das extensões de máquinas virtuais do Azure
7 de agosto de 2023
Esta nova série de alertas foca-se na deteção de atividades suspeitas das extensões das máquinas virtuais do Azure e fornece informações sobre as tentativas dos atacantes de comprometer e realizar atividades maliciosas nas suas máquinas virtuais.
O Microsoft Defender para Servidores consegue agora detetar atividade suspeita das extensões da máquina virtual, permitindo-lhe obter uma melhor cobertura da segurança das cargas de trabalho.
As extensões de máquinas virtuais do Azure são pequenas aplicações que correm após a implementação em máquinas virtuais e oferecem capacidades como configuração, automação, monitorização, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por agentes de ameaças para várias intenções maliciosas, por exemplo:
- Para recolha e monitorização de dados.
- Para execução de código e implantação de configuração com altos privilégios.
- Para redefinir credenciais e criar usuários administrativos.
- Para encriptar discos.
Aqui está uma tabela dos novos alertas.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Falha suspeita ao instalar a extensão GPU na sua subscrição (Pré-visualização) (VM_GPUExtensionSuspiciousFailure) |
Intenção suspeita de instalar uma extensão de GPU em VMs não suportadas. Esta extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, neste caso, as máquinas virtuais não estão equipadas com tal. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações de tal extensão para fins de mineração de criptomoedas. | Impact | Medium |
|
Foi detetada uma instalação suspeita de uma extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) Este alerta foi lançado em julho de 2023. |
Foi detetada uma instalação suspeita de uma extensão de GPU na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão do driver GPU para instalar drivers GPU na sua máquina virtual através do Azure Resource Manager para realizar cryptojacking. Esta atividade é considerada suspeita, uma vez que o comportamento do responsável se afasta dos seus padrões habituais. | Impact | Low |
|
Executar comando com um script suspeito foi detetado em sua máquina virtual (visualização) (VM_RunCommandSuspiciousScript) |
Um comando Run com um script suspeito foi detetado na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar o Run Command para executar código malicioso com elevados privilégios na sua máquina virtual através do Azure Resource Manager. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
|
Foi detetada uma utilização suspeita não autorizada do Comando de Execução na sua máquina virtual (Pré-visualização) (VM_RunCommandSuspiciousFailure) |
A utilização suspeita e não autorizada do Run Command falhou e foi detetada na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem tentar usar o Run Command para executar código malicioso com elevados privilégios nas suas máquinas virtuais através do Azure Resource Manager. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execution | Medium |
|
O uso suspeito do Comando de Execução foi detetado em sua máquina virtual (Visualização) (VM_RunCommandSuspiciousUsage) |
Foi detetado um uso suspeito do Run Command na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar o Run Command para executar código malicioso com elevados privilégios nas suas máquinas virtuais através do Azure Resource Manager. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execution | Low |
|
Foi detetada uma utilização suspeita de várias extensões de monitorização ou recolha de dados nas suas máquinas virtuais (Pré-visualização) (VM_SuspiciousMultiExtensionUsage) |
Foi detetado um uso suspeito de múltiplas extensões de monitorização ou recolha de dados nas suas máquinas virtuais ao analisar as operações do Azure Resource Manager na sua subscrição. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Este uso é considerado suspeito, pois não foi comumente visto antes. | Reconnaissance | Medium |
|
Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais (Pré-visualização) (VM_DiskEncryptionSuspiciousUsage) |
Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem abusar da extensão de encriptação de disco para implementar encriptações completas de disco nas suas máquinas virtuais através do Azure Resource Manager, numa tentativa de realizar atividade de ransomware. Esta atividade é considerada suspeita, pois não foi comumente vista antes e devido ao alto número de instalações de extensão. | Impact | Medium |
|
Foi detetada uma utilização suspeita da extensão VM Access nas suas máquinas virtuais (Pré-visualização) (VM_VMAccessSuspiciousUsage) |
O uso suspeito da extensão VM Access foi detetado em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Persistence | Medium |
| Foi detetada a extensão Desired State Configuration (DSC) com um script suspeito na sua máquina virtual (Pré-visualização) (VM_DSCExtensionSuspiciousScript) |
A extensão Desired State Configuration (DSC) com um script suspeito foi detetada na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão Desired State Configuration (DSC) para implementar configurações maliciosas, como mecanismos de persistência, scripts maliciosos e mais, com elevados privilégios, nas suas máquinas virtuais. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
|
Utilização suspeita de uma extensão Desired State Configuration (DSC) foi detetada nas suas máquinas virtuais (Pré-visualização) (VM_DSCExtensionSuspiciousUsage) |
O uso suspeito de uma extensão Desired State Configuration (DSC) foi detetado nas suas máquinas virtuais através da análise das operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão Desired State Configuration (DSC) para implementar configurações maliciosas, como mecanismos de persistência, scripts maliciosos e mais, com elevados privilégios, nas suas máquinas virtuais. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Impact | Low |
|
Foi detetada uma extensão de script personalizada com um script suspeito na sua máquina virtual (Pré-visualização) (VM_CustomScriptExtensionSuspiciousCmd) (Este alerta já existe e foi melhorado com métodos lógicos e de deteção mais avançados.) |
Uma extensão de script personalizada com um script suspeito foi detetada na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão Custom script para executar código malicioso com elevados privilégios na sua máquina virtual através do Azure Resource Manager. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
Veja os alertas baseados em extensão em Defender para Servidores.
Para uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança em Microsoft Defender para a Cloud.
Atualizações do modelo de negócio e preços dos planos Defender para a Cloud
1 de agosto de 2023
O Microsoft Defender para a Cloud tem três planos que oferecem proteção na camada de serviço:
Defender para Key Vault
Defender para Resource Manager
Defender para DNS
Esses planos fizeram a transição para um novo modelo de negócios com preços e embalagens diferentes para atender ao feedback dos clientes em relação à previsibilidade de gastos e simplificação da estrutura geral de custos.
Modelo de negócio e resumo das alterações de preços:
Os clientes existentes do Defender para Key-Vault, Defender para Resource Manager e Defender para DNS mantêm o seu modelo de negócio e preços atuais, a menos que optem ativamente por mudar para o novo modelo e preço.
- Defender para Resource Manager: Este plano tem um preço fixo por subscrição e por mês. Os clientes podem mudar para o novo modelo de negócio selecionando o novo modelo por subscrição do Defender for Resource Manager.
Os clientes existentes do Defender para Key-Vault, Defender para Resource Manager e Defender para DNS mantêm o seu modelo de negócio e preços atuais, a menos que optem ativamente por mudar para o novo modelo e preço.
- Defender para Resource Manager: Este plano tem um preço fixo por subscrição e por mês. Os clientes podem mudar para o novo modelo de negócio selecionando o novo modelo por subscrição do Defender for Resource Manager.
- Defender para Key Vault: Este plano tem um preço fixo por cofre, por mês, sem cobrança por excesso. Os clientes podem mudar para o novo modelo de negócio selecionando o novo modelo Defender for Key Vault por cofre
- Defender para DNS: Defender para clientes do Plano 2 de Servidores têm acesso a Defender para valor DNS como parte de Defender para o Plano 2 de Servidores sem custo adicional. Os clientes que têm tanto o Defender for Server Plan 2 como o Defender for DNS já não são cobrados pelo Defender para DNS. O Defender para DNS já não está disponível como plano autónomo.
Saiba mais sobre os preços destes planos na página de preços Defender para a Cloud.
Julho de 2023
As atualizações em julho incluem:
| Date | Update |
|---|---|
| 31 de julho | Versão prévia de Avaliação de Vulnerabilidades de Containers Powered by Gestão de vulnerabilidades do Microsoft Defender in Defender for Containers e Defender for Container Registries |
| 30 de julho | |
| 20 de julho | Gestão de atualizações automáticas para Defender para Endpoint para Linux |
| 18 de julho | |
| 12 de julho | Novo alerta de segurança em Defender para Servidores plano 2: Deteção de Potenciais Ataques utilizando extensões de drivers de GPU Azure VM |
| 9 de julho | Suporte para desativar descobertas de vulnerabilidade específicas |
| 1 de julho | A postura de segurança com reconhecimento de dados agora está disponível ao público em geral |
Versão pré-visualizada da avaliação de vulnerabilidades dos contentores com Gestão de vulnerabilidades do Microsoft Defender
31 de julho de 2023
Estamos a anunciar o lançamento do Vulnerability Assessment (VA) para imagens de contentores Linux em registos de contentores do Azure, alimentado pelo Gestão de vulnerabilidades do Microsoft Defender no Defender for Containers e no Defender for Container Registries. A nova oferta de VA de contentores será fornecida juntamente com a nossa oferta existente de VA de Containers, alimentada pela Qualys tanto no Defender for Containers como no Defender for Container Registries, incluindo rescans diários de imagens de containers, informação de explorabilidade, suporte para sistemas operativos e linguagens de programação (SCA) e muito mais.
Esta nova oferta começará a ser lançada hoje e espera-se que esteja disponível para todos os clientes até 7 de agosto.
Saiba mais sobre a avaliação da vulnerabilidade container com Gestão de vulnerabilidades do Microsoft Defender.
A postura do contentor sem agente no GPSC do Defender está agora Geralmente Disponível
30 de julho de 2023
As capacidades de postura de contentores sem agente estão agora Geralmente Disponíveis (GA) como parte do plano GPSC do Defender (Cloud Security Posture Management).
Saiba mais sobre a postura do recipiente sem agente em GPSC do Defender.
Gestão de atualizações automáticas para o Defender for Endpoint para Linux
20 de julho de 2023
Por defeito, Defender para a Cloud tenta atualizar o seu Defender para agentes Endpoint for Linux integrados com a extensão MDE.Linux. Com esta versão, você pode gerenciar essa configuração e desativar a configuração padrão para gerenciar seus ciclos de atualização manualmente.
Secretos sem agente a escanear máquinas virtuais no Defender para servidores P2 & GPSC do Defender
18 de julho de 2023
A varredura de segredos está agora disponível como parte da varredura sem agente no Defender for Servers P2 e GPSC do Defender. Esta capacidade ajuda a detetar segredos não geridos e inseguros guardados em máquinas virtuais em recursos do Azure ou AWS que podem ser usados para se mover lateralmente na rede. Se forem detetados segredos, o Defender para a Cloud pode ajudar a priorizar e tomar medidas concretas de remediação para minimizar o risco de movimentos laterais, tudo isto sem afetar o desempenho da sua máquina.
Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.
Novo alerta de segurança no Defender for Servers, plano 2: deteção de potenciais ataques utilizando extensões de drivers GPU de VM do Azure
12 de julho de 2023
Este alerta foca-se na identificação de atividades suspeitas aproveitando Azure extensões do driver GPU e fornece informações sobre as tentativas dos atacantes de comprometer as suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; tais extensões são frequentemente abusadas por agentes de ameaças para utilizar todo o poder da placa GPU e executar cryptojacking.
| Nome de exibição do alerta (Tipo de alerta) |
Description | Severity | Tática MITRE |
|---|---|---|---|
| Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) |
Foi detetada uma instalação suspeita de uma extensão de GPU na sua máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão do driver GPU para instalar drivers GPU na sua máquina virtual através do Azure Resource Manager para realizar cryptojacking. | Low | Impact |
Para uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança em Microsoft Defender para a Cloud.
Suporte para desativar descobertas de vulnerabilidade específicas
9 de julho de 2023
Liberação do suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Se você tiver uma necessidade organizacional de ignorar uma descoberta de vulnerabilidade na imagem do registro do contêiner, em vez de corrigi-la, opcionalmente poderá desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba como desativar as descobertas de avaliação de vulnerabilidade em imagens do Registro de contêiner.
A postura de segurança com reconhecimento de dados agora está disponível ao público em geral
1 de julho de 2023
A postura de segurança consciente dos dados no Microsoft Defender para a Cloud está agora Geralmente Disponível. Ele ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Com a postura de segurança com deteção de dados, pode:
- Descubra automaticamente recursos de dados sensíveis no Azure e na AWS.
- Avalie a sensibilidade dos dados, a exposição dos dados e como os dados fluem pela organização.
- Descubra de forma proativa e contínua os riscos que podem levar a violações de dados.
- Detetar atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais
Para mais informações, consulte Postura de segurança consciente dos dados em Microsoft Defender para a Cloud.
Junho de 2023
As atualizações em junho incluem:
Integração simplificada de contas multicloud com configurações aprimoradas
26 de junho de 2023
O Defender para a Cloud melhorou a experiência de integração ao incluir uma nova interface de utilizador simplificada e instruções, além de novas funcionalidades que permitem integrar os seus ambientes AWS e GCP, ao mesmo tempo que oferece acesso a funcionalidades avançadas de integração.
Para as organizações que adotaram o Hashicorp Terraform para automação, o Defender para a Cloud inclui agora a capacidade de usar o Terraform como método de implementação juntamente com o AWS CloudFormation ou GCP Cloud Shell. Agora você pode personalizar os nomes de função necessários ao criar a integração. Você também pode selecionar entre:
Default access - Permite-Defender para a Cloud analisar os seus recursos e incluir automaticamente capacidades futuras.
Acesso menos privilegiado -Grants Defender para a Cloud acesso apenas às permissões atuais necessárias para os planos selecionados.
Se você selecionar as permissões menos privilegiadas, receberá notificações apenas sobre quaisquer novas funções e permissões necessárias para obter funcionalidade completa na integridade do conector.
O Defender para a Cloud permite-lhe distinguir entre as suas contas cloud pelos nomes nativos dos fornecedores cloud. Por exemplo, aliases de conta da AWS e nomes de projetos do GCP.
Suporte de endpoint privado para análise de malware no Defender for Storage
25 de junho de 2023
O suporte para Endpoints Privados está agora disponível como parte da pré-visualização pública de análise de malware no Defender for Storage. Esse recurso permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma outra configuração é necessária.
Malware scanning (pré-visualização) no Defender for Storage ajuda a proteger as suas contas de armazenamento contra conteúdos maliciosos, realizando uma análise completa de malware ao conteúdo carregado quase em tempo real, utilizando Microsoft Defender capacidades Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero, e suporta a automatização da resposta em escala.
Os endpoints privados fornecem conectividade segura aos seus serviços Armazenamento do Azure, eliminando efetivamente a exposição pública à internet, e são considerados uma boa prática de segurança.
Para contas de armazenamento com pontos de extremidade privados que já têm a verificação de malware habilitada, você precisará desativar e habilitar o plano com verificação de malware para que isso funcione.
Saiba mais sobre o uso de endpoints privados em Defender para Armazenamento e como proteger ainda mais os seus serviços de armazenamento.
Recomendação lançada para pré-visualização: Imagens de contentores em execução devem ter as descobertas de vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender)
21 de junho de 2023
Uma nova recomendação de contentores em GPSC do Defender alimentada pelo Gestão de vulnerabilidades do Microsoft Defender é lançada para pré-visualização:
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| Imagens de contentores em execução devem ter descobertas de vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender)(Preview) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Esta nova recomendação substitui a recomendação atual com o mesmo nome, alimentada pela Qualys, apenas no GPSC do Defender (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).
Foram feitas atualizações de controle para os padrões NIST 800-53 em conformidade regulatória
15 de junho de 2023
As normas NIST 800-53 (tanto R4 como R5) foram recentemente atualizadas com alterações de controlo na conformidade regulatória do Microsoft Defender para a Cloud. Os controlos geridos por Microsoft foram removidos do standard, e a informação sobre a implementação da responsabilidade Microsoft (como parte do modelo de responsabilidade partilhada na cloud) está agora disponível apenas no painel de detalhes de controlo em Microsoft Ações.
Esses controles foram calculados anteriormente como controles aprovados, portanto, você pode ver uma queda significativa em sua pontuação de conformidade para os padrões NIST entre abril de 2023 e maio de 2023.
Para mais informações sobre controlos de conformidade, consulte Tutorial: Verificações de conformidade regulamentar - Microsoft Defender para a Cloud.
O planeamento da migração para a cloud com um business case Azure Migrate inclui agora o Defender para a Cloud
11 de junho de 2023
Agora pode descobrir potenciais poupanças de custos em segurança aplicando Defender para a Cloud no contexto de um caso de negócio Azure Migrate.
A configuração expressa para avaliações de vulnerabilidades no Defender for SQL está agora Geralmente Disponível
7 de junho de 2023
A configuração expressa para avaliações de vulnerabilidades no Defender for SQL está agora Geralmente Disponível. A configuração Express fornece uma experiência de integração simplificada para avaliações de vulnerabilidade SQL usando uma configuração de um clique (ou uma chamada de API). Não são necessárias configurações ou dependências extras em contas de armazenamento gerenciado.
Confira este blog para saber mais sobre a configuração expressa.
Você pode aprender as diferenças entre a configuração expressa e clássica.
Mais escopos adicionados aos conectores Azure DevOps existentes
6 de junho de 2023
O Defender para DevOps adicionou os seguintes escopos extra à aplicação Azure DevOps (ADO):
Gestão de Segurança Avançada:
vso.advsec_manage. O que é necessário para permitir ativar, desativar e gerir o GitHub Advanced Security para ADO.Mapeamento de contêineres:
vso.extension_manage,vso.gallery_manager; O que é necessário para permitir que você compartilhe a extensão do decorador com a organização ADO.
Apenas novos clientes do Defender para DevOps que tentam integrar recursos ADO no Microsoft Defender para a Cloud são afetados por esta alteração.
A integração direta (sem Azure Arc) no Defender para servidores está agora geralmente disponível
5 de junho de 2023
Anteriormente, o Azure Arc era obrigado a integrar servidores não Azure no Defender for Servers. No entanto, com a versão mais recente, também pode integrar os seus servidores locais no Defender for Servers, utilizando apenas o agente Microsoft Defender para Endpoint.
Este novo método simplifica o processo de integração para clientes focados na proteção principal dos endpoints e permite-lhe tirar partido da faturação baseada em consumo do Defender for Servers, tanto para ativos cloud como não cloud. A opção de integração direta via Defender para o Endpoint já está disponível, com a faturação das máquinas integradas a partir de 1 de julho.
Para mais informações, consulte Conecte as suas máquinas não Azure a Microsoft Defender para a Cloud com Defender para Endpoint.
Substituindo a descoberta baseada em agentes pela descoberta sem agentes para capacidades de contentores no GPSC do Defender
4 de junho de 2023
Com as capacidades de Postura de Contentor Sem Agente disponíveis no GPSC do Defender, as capacidades de descoberta baseada em agentes estão agora retiradas. Se atualmente utiliza capacidades de contentor dentro de GPSC do Defender, por favor certifique-se de que as extensões relevantes estão ativadas para continuar a receber valor relacionado com containers das novas capacidades sem agente, como caminhos de ataque, insights e inventário relacionados com container. (Pode levar até 24 horas para ver os efeitos de ativar as extensões).
Saiba mais sobre a postura do recipiente sem agente.
Maio de 2023
As atualizações em maio incluem:
- Um novo alerta em Defender para Key Vault.
- Suporte para varredura sem agente de discos criptografados na AWS.
- Alterações nas convenções de nomeação JIT (Just-In-Time) em Defender para a Cloud.
- A integração de regiões selecionadas da AWS.
- Alterações nas recomendações de identidade.
- Descontinuação de padrões legados no painel de conformidade.
- Atualização de duas recomendações Defender para DevOps para incluir os achados do Azure DevOps de scanter
- Nova definição por defeito para o Defender para a solução de avaliação de vulnerabilidades de servidores.
- Capacidade de baixar um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Visualização).
- O lançamento da avaliação de vulnerabilidade dos contentores com Gestão de vulnerabilidades do Microsoft Defender.
- A renomeação de recomendações de contêineres alimentado por Qualys.
- Uma atualização para Defender para DevOps GitHub Application.
- Alteração para Defender para DevOps anotações de Pull Request em repositórios Azure DevOps que agora incluem configurações incorretas de Infraestrutura como Código.
Novo alerta no Defender para Key Vault
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Acesso invulgar ao cofre de chaves a partir de um IP suspeito (Não Microsoft ou Externo) (KV_UnusualAccessSuspiciousIP) |
Um utilizador ou principal de serviço tentou aceder de forma anómala a cofres de chaves a partir de uma IP não Microsoft nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Acesso a credenciais | Medium |
Para todos os alertas disponíveis, consulte Alertas para Azure Key Vault.
A verificação sem agente agora oferece suporte a discos criptografados na AWS
A verificação sem agente para VMs agora oferece suporte ao processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.
Esse suporte estendido aumenta a cobertura e a visibilidade sobre sua propriedade na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero em instâncias em execução.
- Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é incorporada e suportada por padrão.
- Para clientes existentes que já têm um conector da AWS com a verificação sem agente habilitada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo atualizado do CloudFormation inclui novas atribuições que permitem ao Defender para a Cloud processar discos encriptados.
Você pode saber mais sobre as permissões usadas para verificar instâncias da AWS.
Para reaplicar sua pilha do CloudFormation:
- Vai às definições do ambiente do Defender para a Cloud e abre o teu conector AWS.
- Navegue até a guia Configurar acesso .
- Selecione Clique para baixar o modelo do CloudFormation.
- Navegue até seu ambiente da AWS e aplique o modelo atualizado.
Saiba mais sobre a varredura sem agente e como habilitar a varredura sem agente na AWS.
Convenções de nomeação das regras JIT (Just-In-Time) revisadas em Defender para a Cloud
Revisámos as regras do JIT (Just-In-Time) para alinhá-las com a marca Microsoft Defender para a Cloud. Alterámos as convenções de nomenclatura para as regras do Azure Firewall e NSG (Network Security Group).
As alterações estão listadas da seguinte forma:
| Description | Nome antigo | Novo nome |
|---|---|---|
| Nomes de regras JIT (permitir e negar) no NSG (Grupo de Segurança de Rede) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrições das regras JIT no NSG | Regra de acesso à rede ASC JIT | Regra de acesso à rede JIT MDC |
| Nomes de coleção de regras de firewall JIT | ASC-JIT | MDC-JIT |
| Nomes de regras de firewall JIT | ASC-JIT | MDC-JIT |
Saiba como proteger suas portas de gerenciamento com acesso Just-In-Time.
Integre regiões selecionadas da AWS
Para ajudá-lo a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS digitalizar ao adicionar ou editar um conector de nuvem. Agora pode digitalizar regiões AWS específicas selecionadas ou todas as regiões disponíveis (por defeito), quando integra as suas contas AWS no Defender para a Cloud. Saiba mais em Ligue a sua conta AWS ao Microsoft Defender para a Cloud.
Várias alterações nas recomendações de identidade
As recomendações a seguir agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.
Versão de disponibilidade geral (GA) de recomendações de identidade V2
A versão V2 das recomendações de identidade introduz os seguintes aprimoramentos:
- O âmbito da análise foi alargado para incluir todos os recursos do Azure, não apenas subscrições. Isso permite que os administradores de segurança visualizem atribuições de função por conta.
- Contas específicas podem agora ser isentas de avaliação. Contas como quebra-vidros ou contas de serviço podem ser excluídas pelos administradores de segurança.
- A frequência de varredura foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.
As seguintes recomendações de segurança estão disponíveis no GA e substituem as recomendações V1:
| Recommendation | Chave de avaliação |
|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar ativadas com MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Contas com permissões de escrita nos recursos do Azure devem estar ativadas com MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Contas com permissões de leitura nos recursos do Azure devem estar ativadas como MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Contas convidadas com permissões de proprietário nos recursos do Azure devem ser removidas | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Contas de convidados com permissões de escrita nos recursos do Azure devem ser removidas | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Contas de convidados com permissões de leitura nos recursos do Azure devem ser removidas | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Contas bloqueadas com permissões de proprietário nos recursos do Azure devem ser removidas | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Contas bloqueadas com permissões de leitura e escrita nos recursos do Azure devem ser removidas | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Descontinuação das recomendações de identidade V1
As seguintes recomendações de segurança foram preteridas:
| Recommendation | Chave de avaliação |
|---|---|
| O MFA deve ser habilitado em contas com permissões de proprietário em assinaturas. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| O MFA deve ser habilitado em contas com permissões de gravação em assinaturas. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| O MFA deve ser habilitado em contas com permissões de leitura em assinaturas. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Contas externas com permissões de proprietário devem ser removidas das assinaturas. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Contas externas com permissões de gravação devem ser removidas das assinaturas. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Contas externas com permissões de leitura devem ser removidas das assinaturas. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Contas preteridas devem ser removidas de assinaturas | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações da V2.
Descontinuação de padrões herdados no painel de conformidade
O PCI DSS legado v3.2.1 e o SOC TSP legado foram totalmente obsoletos no painel de conformidade Defender para a Cloud, sendo substituídos por SOC 2 Tipo 2 iniciativa e PCI DSS v4 normas de conformidade baseadas em iniciativas. Temos o suporte totalmente obsoleto ao standard/iniciativa PCI DSS em Microsoft Azure operado pela 21Vianet.
Saiba como personalizar o conjunto de normas no seu painel de conformidade regulamentar.
O Defender para DevOps inclui as conclusões da análise do Azure DevOps
Defender para DevOps Code e IaC expandiu a sua cobertura de recomendações no Microsoft Defender para a Cloud para incluir as conclusões de segurança do Azure DevOps para as seguintes duas recomendações:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, a cobertura para a análise de segurança do Azure DevOps incluía apenas a recomendação dos segredos.
Saiba mais sobre Defender para DevOps.
Nova configuração padrão para a solução de avaliação de vulnerabilidades Defender for Servers.
As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger as máquinas de ciberataques e violações de dados.
O Gestão de vulnerabilidades do Microsoft Defender está agora ativado como a solução integrada por defeito para todas as subscrições protegidas pelo Defender for Servers que ainda não tenham uma solução VA selecionada.
Se uma subscrição tiver uma solução VA ativada em qualquer uma das suas VMs, não são feitas alterações e o Gestão de vulnerabilidades do Microsoft Defender não será ativado por defeito nas VMs restantes dessa subscrição. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
Transferir um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Pré-visualização)
O Defender para a Cloud adicionou a capacidade de descarregar um relatório CSV dos resultados da sua consulta no Cloud Security Explorer.
Depois de fazer uma pesquisa por uma consulta, pode selecionar o botão Download CSV report (Preview) na página Cloud Security Explorer em Defender para a Cloud.
Saiba como criar consultas com o explorador de segurança na nuvem
O lançamento da avaliação de vulnerabilidades dos contentores com o Gestão de vulnerabilidades do Microsoft Defender
Estamos a anunciar o lançamento do Vulnerability Assessment for Linux images em registos de contentores do Azure, alimentado pelo Gestão de vulnerabilidades do Microsoft Defender no GPSC do Defender. Esta versão inclui a digitalização diária de imagens. As conclusões usadas no Security Explorer e nos caminhos de ataque baseiam-se na Avaliação de Vulnerabilidades do Microsoft Defender, em vez do scanner Qualys.
A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| As imagens do registo de contentores devem ter descobertas de vulnerabilidades resolvidas (com base do Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | DBD0CB49-B563-45E7-9724-889E799FA648 é substituído por C0B7CFC6-3172-465A-B378-53C7FF2CC0D5. |
Saiba mais sobre a postura dos contentores Agentless em GPSC do Defender.
Saiba mais sobre Gestão de vulnerabilidades do Microsoft Defender.
Renomeando recomendações de contêineres com tecnologia Qualys
As recomendações atuais de contentores no Defender for Containers serão renomeadas da seguinte forma:
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Defender para DevOps GitHub Atualização da candidatura
O Microsoft Defender para DevOps está constantemente a fazer alterações e atualizações que exigem que os clientes do Defender para DevOps que integraram os seus ambientes GitHub no Defender para a Cloud forneçam permissões como parte da aplicação implementada no seu GitHub organização. Estas permissões são necessárias para garantir que todas as funcionalidades de segurança do Defender para DevOps funcionam normalmente e sem problemas.
Sugerimos atualizar as permissões o mais rapidamente possível para garantir o acesso contínuo a todas as funcionalidades disponíveis do Defender para DevOps.
As permissões podem ser concedidas de duas maneiras diferentes:
Na sua organização, selecione GitHub Apps. Localize Sua organização e selecione Revisar solicitação.
Receberá um email automático do Suporte do GitHub. No e-mail, selecione Rever pedido de permissão para aceitar ou rejeitar esta alteração.
Depois de seguir qualquer uma dessas opções, você será navegado para a tela de revisão, onde deverá analisar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.
Se precisar de ajuda para atualizar permissões, pode criar um pedido de suporte do Azure.
Também pode aprender mais sobre Defender para DevOps. Se uma subscrição tiver uma solução VA ativada em qualquer uma das suas VMs, não são feitas alterações e o Gestão de vulnerabilidades do Microsoft Defender não será ativado por defeito nas VMs restantes dessa subscrição. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
As anotações de Pull Request do Defender para DevOps em repositórios Azure DevOps incluem agora configurações incorretas de Infraestrutura como Código
O Defender para DevOps expandiu a sua cobertura de anotações de Pull Request (PR) no Azure DevOps para incluir configurações incorretas de Infrastructure as Code (IaC) que são detetadas nos templates do Azure Resource Manager e Bicep.
Os desenvolvedores agora podem ver anotações para configurações incorretas do IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho na nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de gravidade, uma descrição de configuração incorreta e instruções de correção em cada anotação.
Anteriormente, a cobertura das anotações PR do Defender para DevOps no Azure DevOps incluía apenas segredos.
Saiba mais sobre Defender para DevOps e anotações de Pull Requests.
Abril de 2023
As atualizações em abril incluem:
- Postura do Contentor Sem Agente em GPSC do Defender (Pré-visualização)
- Nova recomendação de pré-visualização da Encriptação Unificada de Disco
- Alterações na recomendação As máquinas devem ser configuradas de forma segura
- Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
- Novo alerta em Defender para Resource Manager
- Três alertas no Defender para Resource Manager plano foram obsoletos
- Alerts que exportam automaticamente para Log Analytics espaço de trabalho foram obsoletos
- Depreciação e melhoria de alertas selecionados para servidores Windows e Linux
- Novas Microsoft Entra recomendações relacionadas com autenticação para Azure Serviços de Dados
- Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
- Defender para APIs (Pré-visualização)
Postura do Contentor Sem Agente no GPSC do Defender (Pré-visualização)
As novas capacidades de Postura de Contentor Sem Agente (Preview) estão disponíveis como parte do plano GPSC do Defender (Cloud Security Posture Management).
O Agentless Container Posture permite que as equipes de segurança identifiquem riscos de segurança em contêineres e reinos do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade de seus registros de Kubernetes e contêineres em SDLC e tempo de execução, removendo o atrito e a pegada das cargas de trabalho.
O Agentless Container Posture oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise de caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades específicas de contêineres. Você também pode usar o explorador de segurança na nuvem para descobrir riscos e procurar informações sobre a postura do contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostas à Internet.
Saiba mais em Agentless Container Posture (Preview).
Recomendação de criptografia de disco unificada (visualização)
Há novas recomendações de criptografia de disco unificada na visualização.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Estas recomendações substituem o Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detetou Azure Disk Encryption, e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detetou o EncryptionAtHost. ADE e EncryptionAtHost fornecem criptografia comparável em cobertura de repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detetam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiver habilitado. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).
As novas recomendações exigem Azure Automanage Configuração da Máquina.
Estas recomendações baseiam-se nas seguintes políticas:
- (Pré-visualização) Windows máquinas virtuais devem ativar Azure Disk Encryption ou EncryptionAtHost
- (Pré-visualização) As máquinas virtuais Linux devem ativar Azure Disk Encryption ou EncryptionAtHost
Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.
Alterações na recomendação As máquinas devem ser configuradas de forma segura
A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha a sua experiência com o comportamento genérico das recomendações do Defender para a Cloud.
Como parte desta atualização, o ID da recomendação foi alterado de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.
Nenhuma ação é necessária do lado do cliente e não há efeito esperado na pontuação segura.
Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
As seguintes políticas de monitoramento de idioma do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Deve sempre certificar-se de que está a utilizar uma versão linguística sem vulnerabilidades conhecidas.
| Nome da política | ID da Política |
|---|---|
| App Service que utilizam Java devem usar a versão mais recente 'Java' | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service que utilizam Python devem usar a versão mais recente da 'Python' | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| As aplicações Function que usam Java devem usar a versão mais recente da 'Java' | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| As aplicações Function que usam Python devem usar a versão mais recente da 'Python' | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar a 'versão do PHP' mais recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de idioma especificado para seus Serviços de Aplicativo.
Estas políticas já não estão disponíveis nas recomendações integradas do Defender para a Cloud. Podes adicioná-los como recomendações personalizadas para Defender para a Cloud monitorizar.
Novo alerta no Defender para o Resource Manager
O Defender for Resource Manager tem o seguinte alerta novo:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
PREVIEW - Criação suspeita de recursos computacionais detetada (ARM_SuspiciousComputeCreation) |
O Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação na sua subscrição utilizando Máquinas Virtuais/Azure Scale Set. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que o principal está comprometido e está sendo usado com intenção maliciosa. |
Impact | Medium |
Pode ver uma lista de todos os alertas disponíveis para Resource Manager.
Três alertas no plano Defender for Resource Manager foram descontinuados
Os seguintes três alertas para o plano Defender for Resource Manager foram obsoletos:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Num cenário em que seja detetada atividade proveniente de um endereço IP suspeito, um dos seguintes alertas do plano Defenders para Resource Manager Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.
Alertas de exportação automática para o espaço de trabalho do Log Analytics foram descontinuados
Os alertas de segurança do Defender para a Cloud são automaticamente exportados para um espaço de trabalho padrão do Log Analytics ao nível dos recursos. Isso causa um comportamento indeterminista e, portanto, preterimos esse recurso.
Em vez disso, pode exportar os seus alertas de segurança para um espaço de trabalho dedicado Log Analytics com Continuous Export.
Se já configurou a exportação contínua dos seus alertas para um espaço de trabalho Log Analytics, não é necessária nenhuma ação adicional.
Descontinuação e melhoria de alertas selecionados para servidores Windows e Linux
O processo de melhoria da qualidade dos alertas de segurança para o Defender for Servers inclui a descontinuação de alguns alertas tanto para servidores Windows como Linux. Os alertas obsoletos são agora fornecidos e cobertos por alertas de ameaça do Defender for Endpoint.
Se já tiver ativada a integração com o Defender para o Endpoint, não é necessária mais nenhuma ação. Você pode experimentar uma diminuição no volume de alertas em abril de 2023.
Se não tiver a integração com o Defender for Endpoint ativada no Defender for Servers, terá de ativar a integração com o Defender for Endpoint para manter e melhorar a sua cobertura de alertas.
Todos os Defender para clientes de servidores têm acesso total ao Defender para a integração do Endpoint como parte do plano Defender para servidores.
Pode aprender mais sobre as opções de integração Microsoft Defender para Endpoint.
Você também pode exibir a lista completa de alertas que estão definidos para serem preteridos.
Leia o blogue Microsoft Defender para a Cloud.
Novas recomendações relacionadas com autenticação do Microsoft Entra para Azure Data Services
Adicionámos quatro novas recomendações de autenticação Microsoft Entra para o Azure Data Services.
| Nome da recomendação | Descrição da recomendação | Policy |
|---|---|---|
| O modo de autenticação Azure SQL Managed Instance deve ser apenas Microsoft Entra ID | Desativar métodos locais de autenticação e permitir apenas autenticação Microsoft Entra melhora a segurança ao garantir que as Instâncias Geridas do SQL do Azure possam ser acedidas exclusivamente por identidades Microsoft Entra ID. | Azure SQL Managed Instance deveria ter ativado Microsoft Entra ID Apenas Autenticação |
| O modo de autenticação do Azure Synapse Workspace deve ser apenas Microsoft Entra ID | Os métodos de autenticação apenas do Microsoft Entra ID melhoram a segurança ao garantir que os Espaços de Trabalho Synapse requerem exclusivamente identidades do Microsoft Entra ID para autenticação. Mais informações. | Os espaços de trabalho Synapse devem usar apenas Microsoft Entra ID identidades para autenticação |
| O Base de Dados do Azure para MySQL deve ter um administrador Microsoft Entra provisionado | Disponibilize um administrador Microsoft Entra para a sua base de dados Base de Dados do Azure para MySQL para permitir a autenticação Microsoft Entra. A autenticação Microsoft Entra permite uma gestão simplificada de permissões e uma gestão centralizada de identidades de utilizadores de bases de dados e outros serviços da serviços Microsoft | Um administrador de Microsoft Entra deve ser provisionado para servidores MySQL |
| Base de Dados do Azure para PostgreSQL deve ter um administrador Microsoft Entra provisionado | Providencie um administrador Microsoft Entra para a sua base de dados Base de Dados do Azure para PostgreSQL para permitir a autenticação Microsoft Entra. A autenticação Microsoft Entra permite uma gestão simplificada de permissões e uma gestão centralizada de identidades de utilizadores de bases de dados e outros serviços da serviços Microsoft | A administrador de Microsoft Entra deve ser provisionado para servidores PostgreSQL |
Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
As recomendações System updates should be installed on your machines (powered by Gestor de Atualizações do Azure) e Machines should be configured to periodically check for missing system updates foram lançadas para Disponibilidade Geral.
Para usar a nova recomendação, você precisa:
- Ligue as suas máquinas que não sejam Azure ao Arc.
-
Habilite a propriedade de avaliação periódica. Você pode usar o botão Corrigir.
na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
Depois de completar estes passos, pode remover a antiga recomendação System updates should be installed on your machines, desativando-a da iniciativa incorporada da Defender para a Cloud Azure política.
As duas versões das recomendações:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarão disponíveis até que o agente Log Analytics seja descontinuado a 31 de agosto de 2024, altura em que a versão mais antiga (System updates should be installed on your machines) da recomendação também será descontinuada. Ambas as recomendações retornam os mesmos resultados e estão disponíveis sob o mesmo controle Apply system updates.
A nova recomendação System updates should be installed on your machines (powered by Gestor de Atualizações do Azure) tem um fluxo de remediação disponível através do botão Fix, que pode ser usado para remediar quaisquer resultados através do Gestor de Atualizações (Pré-visualização). Este processo de remediação ainda está em pré-visualização.
A nova recomendação System updates should be installed on your machines (powered by Gestor de Atualizações do Azure) não se espera que afete o seu Secure Score, pois tem os mesmos resultados da recomendação antiga System updates should be installed on your machines.
A recomendação de pré-requisito (Ativar a propriedade de avaliação periódica) tem um efeito negativo no seu Secure Score. Você pode corrigir o efeito negativo com o botão Corrigir disponível.
Defender para APIs (Pré-visualização)
O Defender para a Cloud da Microsoft anuncia que o novo Defender for APIs está disponível em pré-visualização.
O Defender para APIs oferece proteção completa, deteção e cobertura de resposta ao longo do ciclo de vida para APIs.
O Defender for APIs ajuda-o a obter visibilidade sobre APIs críticas para o negócio. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidades e detetar rapidamente ameaças ativas em tempo real.
Saiba mais sobre Defender para APIs.
Março de 2023
As atualizações em março incluem:
- Está disponível um novo plano Defender para Armazenamento, incluindo varredura de malware quase em tempo real e deteção de ameaças de dados sensíveis
- Postura de segurança com reconhecimento de dados (visualização)
- Melhoria da experiência na gestão das políticas de segurança de Azure padrão
- GPSC do Defender (Cloud Security Posture Management) está agora Geralmente Disponível (GA)
- Opção para criar recomendações personalizadas e padrões de segurança em Microsoft Defender para a Cloud
- O benchmark de segurança na nuvem (MCSB) versão 1.0 do Microsoft está agora disponível de forma geral (GA)
- Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
- Nova recomendação de pré-visualização para servidores SQL do Azure
- Novo alerta em Defender para Key Vault
Está disponível um novo plano Defender for Storage, incluindo varredura de malware quase em tempo real e deteção de ameaças de dados sensíveis
O armazenamento em nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje anunciamos um novo plano Defender para Armazenamento. Se estiver a usar o plano anterior (agora renomeado para "Defender for Storage (classic)"), precisa de migrar proativamente para o novo plano para poder usar as novas funcionalidades e benefícios.
O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Ele também fornece uma estrutura de preços mais previsível e flexível para um melhor controle sobre a cobertura e os custos.
O novo plano tem novas capacidades agora em pré-visualização pública:
Deteção de exposição de dados confidenciais e eventos de exfiltração
Verificação quase em tempo real de malware no upload de blob em todos os tipos de arquivos
Detetando entidades sem identidades usando tokens SAS
Esses recursos aprimoram a capacidade existente de monitoramento de atividades, com base na análise de log de controle e plano de dados e modelagem comportamental para identificar os primeiros sinais de violação.
Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece controle granular sobre a proteção de dados nos níveis de assinatura e recursos.
Saiba mais em Visão geral de Microsoft Defender para Armazenamento.
Postura de segurança com reconhecimento de dados (visualização)
O Microsoft Defender para a Cloud ajuda as equipas de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na cloud. Ele permite que eles cortem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, evitando uma violação de dados dispendiosa.
- Descubra automaticamente recursos de dados na nuvem e avalie sua acessibilidade, sensibilidade de dados e fluxos de dados configurados. -Descobrir continuamente riscos de violações de dados de recursos de dados confidenciais, exposição ou caminhos de ataque que possam levar a um recurso de dados usando uma técnica de movimento lateral.
- Detete atividades suspeitas que possam indicar uma ameaça contínua a recursos de dados confidenciais.
Saiba mais sobre a postura de segurança com reconhecimento de dados.
Experiência melhorada na gestão das políticas de segurança padrão do Azure
Introduzimos uma experiência melhorada de gestão de políticas de segurança Azure para recomendações integradas que simplificam a forma como os clientes do Defender para a Cloud ajustam as suas necessidades de segurança. A nova experiência inclui as seguintes novas capacidades:
- Uma interface simples permite melhor desempenho e experiência na gestão de políticas de segurança padrão dentro do Defender para a Cloud.
- Uma visão única de todas as recomendações de segurança incorporadas oferecidas pelo benchmark de segurança cloud da Microsoft (anteriormente o benchmark de segurança do Azure). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos cobertos e a relação entre parâmetros e recomendações.
- Novos recursos, como filtros e pesquisa, foram adicionados.
Saiba como gerir políticas de segurança.
Leia o blogue Microsoft Defender para a Cloud.
GPSC do Defender (Cloud Security Posture Management) está agora disponível de forma geral (GA)
Estamos a anunciar que o GPSC do Defender está agora Disponível de Forma Geral (GA). O GPSC do Defender oferece todos os serviços disponíveis sob as capacidades Foundational CSPM e acrescenta os seguintes benefícios:
- Análise de caminho de ataque e API ARG - A análise de caminho de ataque usa um algoritmo baseado em gráfico que verifica o gráfico de segurança da nuvem para expor caminhos de ataque e sugere recomendações sobre a melhor forma de corrigir problemas que interrompem o caminho de ataque e evitar uma violação bem-sucedida. Também pode consumir caminhos de ataque programaticamente consultando a API Azure Resource Graph (ARG). Saiba como usar a análise de caminho de ataque
- Cloud Security explorer - Use o Cloud Security Explorer para executar consultas baseadas em gráficos no gráfico de segurança na nuvem, para identificar proativamente os riscos de segurança em seus ambientes multicloud. Saiba mais sobre o explorador de segurança na nuvem.
Saiba mais sobre GPSC do Defender.
Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender para a Cloud
O Microsoft Defender para a Cloud oferece a opção de criar recomendações e padrões personalizados para AWS e GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas sobre seus dados. Esta funcionalidade faz parte do plano GPSC do Defender (Cloud Security Posture Management). Saiba como criar recomendações e padrões personalizados.
A versão 1.0 do Microsoft Cloud Security Benchmark (MCSB) está agora Disponível de Forma Geral (GA)
O Microsoft Defender para a Cloud está a anunciar que a versão 1.0 do Microsoft Cloud Security Benchmark (MCSB) está agora Disponível de Forma Geral (GA).
A versão 1.0 do MCSB substitui o Azure Security Benchmark (ASB) versão 3 como política de segurança padrão do Defender para a Cloud. A versão 1.0 do MCSB aparece como o padrão de conformidade padrão no painel de conformidade e está ativada por defeito para todos os clientes do Defender para a Cloud.
Também pode aprender Como Microsoft benchmark de segurança na nuvem (MCSB) o ajuda a ter sucesso na sua jornada de segurança na nuvem.
Saiba mais sobre o MCSB.
Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
Estamos a atualizar estes standards para clientes no Azure Government e Microsoft Azure operados pela 21Vianet.
Azure Government:
Microsoft Azure operado pela 21Vianet:
Saiba como Personalizar o conjunto de normas no seu painel de conformidade regulamentar.
Nova recomendação de pré-visualização para SQL do Azure Servers
Adicionámos uma nova recomendação para SQL do Azure servidores, SQL do Azure Server authentication mode should be Azure Active Directory Only (Preview).
A recomendação baseia-se na política existente Base de Dados SQL do Azure should have Azure Active Directory Only Authentication enabled
Esta recomendação desativa métodos locais de autenticação e permite apenas a autenticação Microsoft Entra, o que melhora a segurança ao garantir que as bases de dados SQL do Azure possam ser acedidas exclusivamente por identidades Microsoft Entra ID.
Aprenda a criar servidores com autenticação Azure apenas AD ativada em SQL do Azure.
Novo alerta no Defender para Key Vault
Defender para Key Vault tem o seguinte alerta novo:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Acesso negado de um IP suspeito a um cofre de chaves (KV_SuspiciousIPAccessDenied) |
Uma tentativa de acesso falhado ao cofre de chaves foi feita por um IP identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. | Acesso a credenciais | Low |
Pode ver uma lista de todos os alertas disponíveis para Key Vault.
Fevereiro de 2023
As atualizações em fevereiro incluem:
- Explorador de Segurança na Nuvem Melhorado
- Defender para as análises de vulnerabilidades do Containers a imagens Linux em execução agora GA
- Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
- Microsoft Defender para DevOps (pré-visualização) está agora disponível noutras regiões
- A política incorporada [Pré-visualização]: O endpoint privado deve ser configurado para Key Vault está obsoleto
Explorador de Segurança na Nuvem Melhorado
Uma versão melhorada do explorador de segurança na nuvem inclui uma experiência de utilizador atualizada que remove drasticamente a fricção das consultas, adicionou a capacidade de executar consultas multicloud e multi-recursos e documentação incorporada para cada opção de consulta.
O Cloud Security Explorer agora permite que você execute consultas abstratas na nuvem entre recursos. Você pode usar os modelos de consulta pré-criados ou usar a pesquisa personalizada para aplicar filtros para criar sua consulta. Saiba como gerir o Cloud Security Explorer.
As análises de vulnerabilidades do Defender for Containers de imagens Linux em execução agora GA
O Defender for Containers deteta vulnerabilidades em containers em funcionamento. São suportados contentores tanto para Windows como para Linux.
Em agosto de 2022, esta funcionalidade foi lançada em pré-visualização para Windows e Linux. Estamos agora a lançá-lo para disponibilidade geral (GA) para Linux.
Quando são detetadas vulnerabilidades, Defender para a Cloud gera a seguinte recomendação de segurança listando as conclusões da varredura: Imagens de contentores em execução devem ter descobertas de vulnerabilidades resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
O Defender para a Cloud agora suporta o padrão de conformidade CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes da MDC para recomendações e padrões multicloud.
Esta nova norma inclui tanto recomendações existentes como novas que estendem a cobertura do Defender para a Cloud a novos serviços e recursos da AWS.
Saiba como gerenciar avaliações e padrões da AWS.
Microsoft Defender para DevOps (pré-visualização) está agora disponível noutras regiões
O Microsoft Defender para DevOps expandiu a sua pré-visualização e está agora disponível nas regiões da Europa Ocidental e Austrália Oriental, quando integra os seus recursos Azure DevOps e GitHub.
Saiba mais sobre Microsoft Defender para DevOps.
A política incorporada [Pré-visualização]: O endpoint privado deve estar configurado para o Key Vault está obsoleta
A política incorporada [Preview]: Private endpoint should be configured for Key Vault está obsoleta e substituída pela política [Preview]: Azure Key Vaults should use private link.
Saiba mais sobre integrar Azure Key Vault com Azure Policy.
Janeiro de 2023
As atualizações em janeiro incluem:
- O componente de proteção de endpoints (Microsoft Defender para Endpoint) é agora acedido nas páginas de Definições e monitorização
- Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
- Limpeza de máquinas de Azure Arc eliminadas em contas AWS e GCP conectadas
- Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
- O nome do controlo de pontuação Secure Protect your applications with Azure advanced network solutions mudou
- As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
- A recomendação para ativar registos de diagnóstico para Conjuntos de Dimensionamento de Máquinas Virtuais está obsoleta
O componente de proteção Endpoint (Microsoft Defender para Endpoint) é agora acedido na página de Definições e monitorização
Para aceder à proteção de endpoints, navegue até Definições de ambiente>Defender planos>Definições e monitorização. A partir daqui, você pode definir a proteção de ponto final como Ativada. Você também pode ver os outros componentes que são gerenciados.
Saiba mais sobre o enabling Microsoft Defender para Endpoint nos seus servidores com Defender for Servers.
Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
Já não precisa de um agente nas suas VMs Azure e Azure Arc para garantir que as máquinas têm todas as últimas atualizações de segurança ou críticas do sistema.
A recomendação das novas atualizações do sistema, System updates should be installed on your machines (powered by Gestor de Atualizações do Azure) no controlo Apply system updates, baseia-se no Gestor de Atualizações (pré-visualização). A recomendação baseia-se num agente nativo embutido em todas as máquinas Azure VM e Azure Arc em vez de um agente instalado. A Correção Rápida na nova recomendação leva você a uma instalação única das atualizações ausentes no portal do Update Manager.
Para usar a nova recomendação, você precisa:
- Ligue as suas máquinas não-Azure ao Arc
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
A recomendação existente de "Atualizações do sistema devem ser instaladas nas suas máquinas", que depende do agente Log Analytics, continua disponível sob o mesmo controlo.
Limpeza de máquinas Azure Arc apagadas em contas AWS e GCP ligadas
Uma máquina ligada a uma conta AWS e GCP que é coberta pelo Defender for Servers ou Defender for SQL em máquinas é representada no Defender para a Cloud como uma máquina Azure Arc. Até agora, essa máquina não era excluída do inventário quando era excluída da conta da AWS ou do GCP. O que leva a recursos desnecessários do Azure Arc deixados no Defender para a Cloud que representam máquinas eliminadas.
O Defender para a Cloud agora elimina automaticamente as máquinas Azure Arc quando essas máquinas forem eliminadas na conta AWS ou GCP conectada.
Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
Agora pode ativar a exportação contínua de alertas e recomendações, como um serviço de confiança para Hubs de Eventos protegidos por um firewall Azure.
Você pode habilitar a exportação contínua à medida que os alertas ou recomendações são gerados. Você também pode definir um cronograma para enviar instantâneos periódicos de todos os novos dados.
Aprenda a ativar a exportação contínua para um Event Hubs atrás de um firewall Azure.
O nome do controlo de pontuação Secure Protect your applications with Azure advanced networking solutions foi alterado
O controlo de pontuação segura, Protect your applications with Azure advanced networking solutions é alterado para Protect applications against DDoS attacks.
O nome atualizado está refletido no Azure Resource Graph (ARG), na API de Controlo de Pontuação Segura e no Download CSV report.
As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.
O relatório de email de avaliação de vulnerabilidades do Defender for SQL ainda está disponível e as configurações de email existentes não mudaram.
A recomendação para ativar registos de diagnóstico para Conjuntos de Dimensionamento de Máquinas Virtuais está obsoleta
A recomendação Diagnostic logs in Conjuntos de Dimensionamento de Máquinas Virtuais should be enabled está obsoleta.
A definição de política relacionada também foi preterida de quaisquer padrões exibidos no painel de conformidade regulatória.
| Recommendation | Description | Severity |
|---|---|---|
| Os registos de diagnóstico no Conjuntos de Dimensionamento de Máquinas Virtuais devem estar ativados | Habilite logs e retenha-os por até um ano, permitindo que você recrie trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida. | Low |
Dezembro de 2022
As atualizações em dezembro incluem:
Anunciando configuração expressa para avaliação de vulnerabilidades no Defender for SQL
A configuração expressa para avaliação de vulnerabilidades no Microsoft Defender for SQL proporciona às equipas de segurança uma experiência de configuração simplificada em bases de dados SQL do Azure e Pools SQL dedicados fora dos Workspaces Synapse.
Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:
- Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem quaisquer outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
- Adicione imediatamente os resultados da verificação às linhas de base para que o status da localização mude de Não íntegro para Íntegro sem verificar novamente um banco de dados.
- Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
- Ative a avaliação de vulnerabilidades para todos os servidores SQL do Azure quando ativar o Microsoft Defender para bases de dados ao nível da subscrição.
Saiba mais sobre Defender para avaliação de vulnerabilidades SQL.
Novembro de 2022
As atualizações em novembro incluem:
- Proteja contentores em toda a sua organização GCP com Defender para contentores
- Validar Defender para proteções de contentores com alertas de amostra
- Regras de governação à escala (Pré-visualização)
- A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
- A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
Proteja os contentores em toda a sua organização GCP com o Defender for Containers
Agora pode ativar Defender para Containers para o seu ambiente GCP para proteger clusters GKE padrão em toda a organização GCP. Basta criar um novo conector GCP com o Defender for Containers ativado ou ativar o Defender for Containers num conector GCP já existente ao nível da organização.
Saiba mais sobre ligar projetos e organizações GCP a Defender para a Cloud.
Valide as proteções do Defender for Containers com alertas de amostras
Agora também pode criar alertas de exemplo para o plano Defender for Containers. Os novos alertas de amostra são apresentados como sendo de AKS, clusters conectados ao Arc, EKS e recursos GKE com diferentes gravidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alertas de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.
Saiba mais sobre a validação de alertas.
Regras de governação à escala (Pré-visualização)
Temos o prazer de anunciar a nova capacidade de aplicar regras de governação em escala (Preview) no Defender para a Cloud.
Com essa nova experiência, as equipes de segurança são capazes de definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipas de segurança podem realizar esta tarefa utilizando escopos de gestão como grupos de gestão Azure, contas de topo AWS ou organizações GCP.
Além disso, a página Regras de governança (Visualização) apresenta todas as regras de governança disponíveis que são eficazes nos ambientes da organização.
Saiba mais sobre a experiência em escala das novas regras de governança.
Note
A partir de 1 de janeiro de 2023, para usufruir das capacidades oferecidas pela Governação, deve ter o plano GPSC do Defender ativado na sua subscrição ou conector.
A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
A capacidade de criar avaliações personalizadas para contas da AWS e projetos GCP, que era um recurso de visualização, foi preterida.
A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
A recomendação Lambda functions should have a dead-letter queue configured está obsoleta.
| Recommendation | Description | Severity |
|---|---|---|
| As funções do Lambda devem ter uma fila de mensagens mortas configurada | Esse controle verifica se uma função do Lambda está configurada com uma fila de letras mortas. O controle falhará se a função do Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar sua função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas age da mesma forma que um destino em caso de falha. É usado quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você analise erros ou solicitações com falha para sua função do Lambda para depurar ou identificar um comportamento incomum. Do ponto de vista da segurança, é importante entender por que sua função falhou e garantir que sua função não perca dados ou comprometa a segurança dos dados como resultado. Por exemplo, se sua função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de negação de serviço (DoS) em outro lugar da rede. | Medium |
Outubro de 2022
As atualizações em outubro incluem:
- Anunciando o benchmark de segurança na cloud Microsoft
- Análise de caminhos de ataque e capacidades de segurança contextual em Defender para a Cloud (Pré-visualização)
- Exame sem agentes para máquinas Azure e AWS (Pré-visualização)
- Defender para DevOps (Pré-visualização)
- O Painel de Conformidade Regulamentar agora suporta a gestão manual de controlo e informações detalhadas sobre o estado de conformidade da Microsoft
- O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
- Defender Gestão da Postura de Segurança na Cloud (CSPM) (Pré-visualização)
- O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
- Defender para Containers suporta agora a avaliação de vulnerabilidades para o Elastic Container Registry (Preview)
Anunciando o benchmark de segurança na cloud da Microsoft
O benchmark de segurança cloud Microsoft (MCSB) é um novo quadro que define princípios fundamentais de segurança cloud baseados em normas comuns do setor e quadros de conformidade. Juntamente com orientações técnicas detalhadas para a implementação dessas práticas recomendadas em plataformas de nuvem. O MCSB está a substituir o Azure Security Benchmark. O MCSB fornece detalhes prescritivos sobre como implementar as suas recomendações de segurança independentes da cloud em múltiplas plataformas de serviços cloud, inicialmente abrangendo Azure e AWS.
Agora você pode monitorar sua postura de conformidade de segurança na nuvem por nuvem em um único painel integrado. Pode ver o MCSB como o padrão padrão de conformidade ao aceder ao painel de conformidade regulatória do Defender para a Cloud.
O benchmark de segurança cloud da Microsoft é automaticamente atribuído às suas subscrições Azure e contas AWS quando integra o Defender para a Cloud.
Saiba mais sobre o benchmark de segurança na cloud Microsoft.
Análise de caminhos de ataque e capacidades de segurança contextual no Defender para a Cloud (Pré-visualização)
O novo gráfico de segurança na cloud, a análise do caminho de ataque e as capacidades de segurança contextual na nuvem estão agora disponíveis no Defender para a Cloud em pré-visualização.
Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que enfrentam diariamente. Existem inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolvê-los todos.
O novo grafo de segurança na cloud e as capacidades de análise do caminho de ataque da Defender para a Cloud dão às equipas de segurança a capacidade de avaliar o risco por detrás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisam ser resolvidos o mais rápido possível. A Defender para a Cloud trabalha com equipas de segurança para reduzir o risco de uma violação afetiva no seu ambiente da forma mais eficaz.
Saiba mais sobre o novo gráfico de segurança na nuvem, a análise de caminhos de ataque e o explorador de segurança na nuvem.
Análise sem agente para máquinas Azure e AWS (Pré-visualização)
Até agora, o Defender para a Cloud baseava as suas avaliações de postura para VMs em soluções baseadas em agentes. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs visualizarem.
Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre o software instalado e CVEs de software. Você obtém a visibilidade sem que os desafios de instalação e manutenção do agente, os requisitos de conectividade de rede e o desempenho afetem suas cargas de trabalho. A análise é alimentada pelo Gestão de vulnerabilidades do Microsoft Defender.
A análise de vulnerabilidades sem agente está disponível tanto no Cloud Security Posture Management (CSPM Defender) como no Defender para servidores P2, com suporte nativo para AWS e VMs Azure.
- Saiba mais sobre a verificação sem agente.
- Saiba como ativar a avaliação de vulnerabilidade sem agente.
Defender para DevOps (Pré-visualização)
O Microsoft Defender para a Cloud permite visibilidade abrangente, gestão de postura e proteção contra ameaças em ambientes híbridos e multicloud, incluindo Azure, AWS, Google e recursos locais.
Agora, o novo plano Defender para DevOps integra sistemas de gestão de código-fonte, como GitHub e Azure DevOps, no Defender para a Cloud. Com essa nova integração, estamos capacitando as equipes de segurança para proteger seus recursos do código para a nuvem.
O Defender para DevOps permite-lhe obter visibilidade e gerir os seus ambientes de desenvolvimento e recursos de código conectados. Atualmente, pode ligar sistemas Azure DevOps e GitHub a Defender para a Cloud e repositórios DevOps integrados ao Inventory e à nova página de Segurança DevOps. Ele fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem nelas em uma página unificada de Segurança de DevOps.
Pode configurar anotações nos pull requests, para ajudar os programadores a lidar diretamente com os seus pull requests, que analisam segredos no Azure DevOps.
Pode configurar as ferramentas Microsoft Security DevOps nos fluxos de trabalho do Azure Pipelines e GitHub para permitir as seguintes análises de segurança:
| Name | Linguagem | License |
|---|---|---|
| Bandit | Python | Apache Licença 2.0 |
| BinSkim | Binário – Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| CredScan (apenas Azure DevOps) | O Scanner de Credenciais (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida pela Microsoft para identificar fugas de credenciais, como as presentes em código-fonte e ficheiros de configuração. Tipos comuns: palavras-passe padrão, cadeias de ligação SQL, certificados com chaves privadas | Não Open Source |
| Template Analyze | Modelo ARM, ficheiro Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, Formação de Nuvem | Apache Licença 2.0 |
| Trivy | Imagens de contêiner, sistemas de arquivos, repositórios git | Apache Licença 2.0 |
As novas recomendações a seguir estão disponíveis para DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura de código resolvidas | O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura secretas resolvidas | O Defender para DevOps encontrou um segredo nos repositórios de código. Esta situação deve ser corrigida imediatamente para evitar uma violação da segurança. Segredos encontrados em repositórios podem ser vazados ou descobertos por adversários, levando ao comprometimento de um aplicativo ou serviço. Para Azure DevOps, a ferramenta Microsoft Security DevOps CredScan apenas analisa as builds em que está configurada para correr. Portanto, os resultados podem não refletir o status completo dos segredos em seus repositórios. (Nenhuma política relacionada) | High |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura do Dependabot resolvidas | O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | Medium |
| (Pré-visualização) GitHub repositórios devem ter a varredura de código ativada | O GitHub utiliza varredura de código para analisar o código e encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, triar e priorizar correções para problemas existentes em seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser agendadas para dias e horários específicos, ou podem ser acionadas quando ocorre um evento específico no repositório, como um push. Se a análise de código encontrar uma potencial vulnerabilidade ou erro no código, o GitHub apresenta um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) GitHub repositórios devem ter a varredura secreta ativada | O GitHub analisa repositórios à procura de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que tenham sido acidentalmente comprometidos em repositórios. A varredura de segredos irá analisar todo o histórico Git em todos os ramos presentes no repositório do GitHub à procura de quaisquer segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo for verificado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório poderá usá-lo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Nenhuma política relacionada) | High |
| (Pré-visualização) Os repositórios GitHub devem ter a análise do Dependabot ativada | O GitHub envia alertas ao Dependabot quando deteta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto ou de outros projetos que usam seu código. As vulnerabilidades variam em tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Nenhuma política relacionada) | Medium |
As recomendações do Defender para DevOps substituíram o scanner de vulnerabilidades obsoleto para fluxos de trabalho CI/CD que estava incluído no Defender for Containers.
Saiba mais sobre Defender para DevOps
O painel de Conformidade Regulamentar suporta agora a gestão manual de controlos e informações detalhadas sobre o estado de conformidade da Microsoft
O painel de conformidade no Defender para a Cloud é uma ferramenta fundamental para os clientes os ajudar a compreender e acompanhar o seu estado de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de muitas normas e regulamentações diferentes.
Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e outros. Agora, pode fornecer provas de conformidade para controlos que não são automatizados. Juntamente com as avaliações automatizadas, pode agora gerar um relatório completo de conformidade dentro de um âmbito selecionado, abordando todo o conjunto de controlos de uma determinada norma.
Além disso, com informação de controlo mais rica e detalhes e provas aprofundadas do estado de conformidade da Microsoft, agora tem toda a informação necessária para auditorias ao seu alcance.
Alguns dos benefícios novos incluem:
As ações manuais do cliente fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Incluindo a capacidade de vincular evidências, definir uma data de conformidade e uma data de validade.
Detalhes de controlo mais ricos para as normas suportadas que mostram ações
Microsoft emanual do cliente além das ações automatizadas já existentes do cliente. As ações da Microsoft fornecem transparência sobre o estado de conformidade da Microsoft, incluindo procedimentos de avaliação de auditoria, resultados de testes e respostas da Microsoft a desvios.
As ofertas Conformidade fornecem um local central para verificar os produtos Azure, Dynamics 365 e Power Platform e as respetivas certificações de conformidade regulatória.
Saiba mais sobre como Melhorar a sua conformidade regulatória com Defender para a Cloud.
O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
Renomeamos a página Autoprovisioning para Configurações e monitoramento.
O autoprovisionamento destinava-se a permitir a ativação em larga escala dos pré-requisitos, que são necessários pelas funcionalidades e capacidades avançadas do Defender para a Cloud. Para melhor suportar as nossas capacidades expandidas, estamos a lançar uma nova experiência com as seguintes alterações:
A página de planos do Defender para a Cloud inclui agora :
- Quando ativas um plano Defender que exige componentes de monitorização, esses componentes são ativados para provisionamento automático com definições predefinidas. Opcionalmente, essas configurações podem ser editadas a qualquer momento.
- Pode aceder às definições de componentes de monitorização para cada plano Defender a partir da página do plano Defender.
- A página de planos Defender indica claramente se todos os componentes de monitorização estão implementados para cada plano Defender, ou se a sua cobertura de monitorização está incompleta.
A página Configurações e monitoramento:
- Cada componente de monitorização indica os planos do Defender aos quais está relacionado.
Saiba mais sobre como gerenciar suas configurações de monitoramento.
Gestão de Postura de Segurança na Nuvem do Defender (CSPM)
Um dos principais pilares do Microsoft Defender para a Cloud para a segurança na cloud é a Cloud Security Posture Management (CSPM). O CSPM fornece orientação de proteção que ajuda você a melhorar sua segurança de forma eficiente e eficaz. O CSPM também oferece visibilidade da sua situação de segurança atual.
Estamos a anunciar um novo plano Defender: GPSC do Defender. Este plano reforça as capacidades de segurança do Defender para a Cloud e inclui as seguintes funcionalidades novas e alargadas:
- Avaliação contínua da configuração de segurança dos seus recursos na nuvem
- Recomendações de segurança para corrigir configurações incorretas e fraquezas
- Classificação de segurança
- Governance
- Conformidade regulamentar
- Gráfico de segurança na nuvem
- Análise de trajetória de ataque
- Varredura sem agente para máquinas
Saiba mais sobre o plano GPSC do Defender.
O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas de forma eficiente.
O Defender para a Cloud facilita a priorização ao mapear as recomendações de segurança do Azure, AWS e GCP com o MITRE ATT& Estrutura CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.
A estrutura MITRE ATT&CK está integrada de três maneiras:
- As recomendações mapeiam as táticas e técnicas MITRE ATT&CK.
- Consultar MITRE ATT& Táticas e técnicas CK sobre recomendações usando o Azure Resource Graph.
O Defender for Containers suporta agora a avaliação de vulnerabilidades para o Elastic Container Registry (Pré-visualização)
O Microsoft Defender for Containers agora fornece análise de vulnerabilidades sem agente, a análise do Elastic Container Registry (ECR) na Amazon AWS. Expansão da cobertura para ambientes multicloud, com base no lançamento no início deste ano de proteção avançada contra ameaças e proteção de ambiente Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos da AWS em suas contas para digitalizar suas imagens sem extrair imagens de suas contas da AWS e sem espaço ocupado em sua carga de trabalho.
A verificação de avaliação de vulnerabilidades sem agente para imagens em repositórios ECR ajuda a reduzir a superfície de ataque de seu patrimônio conteinerizado, examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêineres. Com esta nova versão, o Defender para a Cloud analisa as imagens dos contentores depois de serem enviadas para o repositório e reavalia continuamente as imagens dos contentores ECR no registo. As conclusões estão disponíveis no Microsoft Defender para a Cloud como recomendações, e pode usar os fluxos de trabalho automatizados integrados do Defender para a Cloud para agir sobre as conclusões, como abrir um ticket para corrigir uma vulnerabilidade de alta gravidade numa imagem.
Saiba mais sobre a avaliação de vulnerabilidades para imagens do Amazon ECR.
Setembro de 2022
As atualizações em setembro incluem:
- Suprimir alertas com base em entidades Container e Kubernetes
- Defender para servidores suporta Monitorização de Integridade de Ficheiros com Azure Monitor Agent
- Descontinuação das APIs de avaliações herdadas
- Recomendações adicionais adicionadas à identidade
- Remoção dos alertas de segurança para máquinas que reportam a espaços de trabalho de Log Analytics entre inquilinos
Suprimir alertas com base em entidades Container e Kubernetes
- Espaço de Nomes Kubernetes
- Kubernetes Pod
- Segredo do Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Trabalho do Kubernetes
- Kubernetes CronJob
Saiba mais sobre as regras de supressão de alertas.
O Defender for Servers suporta Monitorização da Integridade de Ficheiros com o Azure Monitor Agent
O monitoramento de integridade de arquivos (FIM) examina arquivos e registros do sistema operacional em busca de alterações que possam indicar um ataque.
O FIM está agora disponível numa nova versão baseada no Azure Monitor Agent (AMA), que pode implementar através do Defender para a Cloud.
Descontinuação das APIs de avaliações herdadas
As seguintes APIs foram preteridas:
- Tarefas de Segurança
- Status de segurança
- Resumos de Segurança
Essas três APIs expuseram formatos antigos de avaliações e foram substituídas pelas APIs de avaliações e APIs de subavaliações. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.
Recomendações adicionais adicionadas à identidade
As recomendações do Defender para a Cloud para melhorar a gestão de utilizadores e contas.
Novas recomendações
A nova versão contém os seguintes recursos:
Âmbito de avaliação alargado – A cobertura é melhorada para contas de identidade sem MFA e contas externas em recursos Azure (em vez de apenas subscrições), o que permite aos administradores de segurança visualizar as atribuições de papéis por conta.
Intervalo de frescura melhorado - As recomendações de identidade têm agora um intervalo de frescura de 12 horas.
Capacidade de isenção de contas - Defender para a Cloud tem muitas funcionalidades que pode usar para personalizar a sua experiência e garantir que a sua pontuação segura reflete as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações de sua pontuação segura.
Esta atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.
Normalmente, você isentaria contas de emergência "quebra-vidro" das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso, que não têm MFA habilitada.
Tip
Quando você isenta uma conta, ela não será mostrada como não íntegra e também não fará com que uma assinatura pareça não íntegra.
Recommendation Chave de avaliação Contas com permissões de proprietário em recursos do Azure devem estar ativadas com MFA 6240402e-f77c-46fa-9060-a7ce53997754 Contas com permissões de escrita nos recursos do Azure devem estar ativadas com MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Contas com permissões de leitura nos recursos do Azure devem estar ativadas como MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Contas convidadas com permissões de proprietário nos recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a Contas de convidados com permissões de escrita nos recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Contas de convidados com permissões de leitura nos recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Contas bloqueadas com permissões de proprietário nos recursos do Azure devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf Contas bloqueadas com permissões de leitura e escrita nos recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
As recomendações, embora em pré-visualização, aparecerão ao lado das recomendações que estão atualmente em AG.
Foram removidos os alertas de segurança para máquinas que reportam a espaços de trabalho Log Analytics entre inquilinos
No passado, o Defender para a Cloud permitia-lhe escolher o espaço de trabalho para onde os seus agentes da Log Analytics reportam. Quando uma máquina pertencia a um inquilino (Inquilino A) mas o seu agente Log Analytics reportava a um espaço de trabalho noutro inquilino ("Inquilino B"), alertas de segurança sobre a máquina eram reportados ao primeiro inquilino (Inquilino A).
Com esta alteração, os alertas em máquinas ligadas ao espaço de trabalho do Log Analytics num tenant diferente deixaram de aparecer no Defender para a Cloud.
Se quiser continuar a receber os alertas no Defender para a Cloud, ligue o agente Log Analytics das máquinas relevantes ao espaço de trabalho no mesmo tenant da máquina.
Saiba mais sobre alertas de segurança.
Agosto de 2022
As atualizações em agosto incluem:
- Vulnerabilidades para executar imagens são agora visíveis com Defender para Containers nos seus contentores Windows
- Azure Monitor Integração com agentes agora em pré-visualização
- Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
Vulnerabilidades para execução de imagens são agora visíveis com o Defender for Containers nos seus contentores do Windows
O Defender for Containers agora mostra vulnerabilidades para a execução de containers do Windows.
Quando são detetadas vulnerabilidades, Defender para a Cloud gera a seguinte recomendação de segurança listando os problemas detetados: Imagens de contentores em execução devem ter descobertas de vulnerabilidades resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Integração com Azure Monitor Agent agora em pré-visualização
Defender para a Cloud agora inclui suporte de pré-visualização para o Agente Azure Monitor (AMA). O AMA destina-se a substituir o agente legado Log Analytics (também referido como Microsoft Monitoring Agent (MMA)), que está a caminho da descontinuação. O AMA oferece muitos benefícios em relação aos agentes legados.
No Defender para a Cloud, quando ativar o autoprovisionamento para AMA, o agente é implementado em VMs existentes e novas e em máquinas com Azure Arc que são detetadas nas suas subscrições. Se os planos do Defender para a Cloud estiverem ativados, o AMA recolhe informações de configuração e registos de eventos das VMs do Azure e das máquinas Azure Arc. A integração AMA está em pré-visualização, por isso recomendamos usá-la em ambientes de teste, em vez de em ambientes de produção.
Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
A tabela a seguir lista os alertas que foram preteridos:
| Nome do alerta | Description | Tactics | Severity |
|---|---|---|---|
|
Operação de compilação do Docker detetada em um nó do Kubernetes (VM_ImageBuildOnNode) |
Os logs de máquina indicam uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar suas imagens maliciosas localmente para evitar a deteção. | Evasão de Defesa | Low |
|
Solicitação suspeita para a API do Kubernetes (VM_KubernetesAPI) |
Os logs da máquina indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora esse comportamento possa ser intencional, ele pode indicar que o nó está executando um contêiner comprometido. | LateralMovement | Medium |
|
O servidor SSH está sendo executado dentro de um contêiner (VM_ContainerSSH) |
Os logs da máquina indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora esse comportamento possa ser intencional, ele frequentemente indica que um contêiner está configurado incorretamente ou violado. | Execution | Medium |
Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas Microsoft Defender para a Cloud Container (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI e K8S.NODE_ ContainerSSH), que proporcionarão melhor fidelidade e contexto abrangente para investigar e agir sobre os alertas. Saiba mais sobre alertas para clusters do Kubernetes.
As vulnerabilidades de contêiner agora incluem informações detalhadas do pacote
A avaliação de vulnerabilidades (VA) do Defender for Container inclui agora informações detalhadas sobre o pacote para cada descoberta, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão corrigida. As informações do pacote permitem encontrar pacotes vulneráveis para que você possa corrigir a vulnerabilidade ou remover o pacote.
Esta informação detalhada do pacote está disponível para novas digitalizações de imagens.
Julho de 2022
As atualizações em julho incluem:
- Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
- Defender para o VA do Container adiciona suporte para a deteção de pacotes específicos de linguagem (Preview)
- Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
- Integração com o Entra Permissions Management
- Key Vault as recomendações mudaram para "auditoria"
- Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
Estamos entusiasmados em compartilhar que o agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes agora está disponível em geral (GA)!
As implantações de produção de clusters Kubernetes continuam a crescer à medida que os clientes continuam a contentorizar seus aplicativos. Para ajudar neste crescimento, a equipa Defender for Containers desenvolveu um agente de segurança orientado para Kubernetes nativo na cloud.
O novo agente de segurança é um Kubernetes DaemonSet, baseado na tecnologia eBPF e está totalmente integrado em clusters AKS como parte do Perfil de Segurança AKS.
A habilitação do agente de segurança está disponível através de autoprovisionamento, fluxo de recomendações, AKS RP ou em larga escala usando o Azure Policy.
Podes implantar o agente Defender hoje mesmo nos teus clusters AKS.
Com este anúncio, a proteção em tempo de execução - deteção de ameaças (carga de trabalho) agora também está disponível para o público em geral.
Saiba mais sobre o Defender para a disponibilidade funcionalidades.
Também pode rever todos os alertas disponíveis.
Observe que, se você estiver usando a versão de visualização, o AKS-AzureDefender sinalizador de recurso não será mais necessário.
O VA do Defender for Container adiciona suporte para a deteção de pacotes específicos de linguagem (Pré-visualização)
A avaliação de vulnerabilidades (VA) do Defender for Container consegue detetar vulnerabilidades em pacotes de SO implementados através do gestor de pacotes do SO. Agora ampliamos as habilidades do VA para detetar vulnerabilidades incluídas em pacotes específicos de idiomas.
Este recurso está em pré-visualização e só está disponível para imagens Linux.
Para ver todos os pacotes específicos de linguagem incluídos que foram adicionados, consulte Defender para a lista completa de funcionalidades do Container e a sua disponibilidade.
Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
A Infraestrutura de Gerenciamento de Operações (OMI) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e em nuvem a partir de um único local. Em vez de implementar e gerir recursos locais, os componentes OMI são totalmente alojados no Azure.
Log Analytics integrado com Azure HDInsight a correr a versão 13 do OMI requer um patch para remediar CVE-2022-29149. Consulte o relatório sobre esta vulnerabilidade no guia de atualização Microsoft Security para obter informações sobre como identificar recursos afetados por esta vulnerabilidade e passos de remediação.
Se tiver Defender para servidores ativados com Avaliação de Vulnerabilidades, pode usar this workbook para identificar os recursos afetados.
Integração com o Entra Permissions Management
Defender para a Cloud integrou-se com Gestão de Permissões do Microsoft Entra, uma solução de gestão de direitos de infraestrutura cloud (CIEM) que proporciona visibilidade e controlo abrangentes sobre permissões para qualquer identidade e recurso em Azure, AWS e GCP.
Cada subscrição Azure, conta AWS e projeto GCP que estiver a integrar irá agora mostrar-lhe uma vista do seu <Índice de Crescimento de Permissão (PCI)>.
Saiba mais sobre o Entra Permission Management (anteriormente Cloudknox)
As recomendações do Key Vault mudaram para "auditoria"
O efeito das recomendações do Key Vault aqui listadas foi alterado para "auditoria":
| Nome da recomendação | ID da recomendação |
|---|---|
| O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Os segredos do Key Vault devem ter uma data de validade | 14257785-9437-97fa-11ae-898cfb24302b |
| As chaves do Key Vault devem ter uma data de validade | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Substituímos as seguintes políticas pelas políticas correspondentes que já existem para incluir aplicativos de API:
| A ser preterido | Mudar para |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Junho de 2022
As atualizações em junho incluem:
- Disponibilidade geral (GA) para Microsoft Defender para Azure Cosmos DB
- Disponibilidade geral (GA) de Defender para SQL em máquinas para ambientes AWS e GCP
- Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
- Filtrar alertas de segurança por endereço IP
- Alertas por grupo de recursos
- Autoprovisionamento de Microsoft Defender para Endpoint solução unificada
- Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
Disponibilidade geral (GA) para Microsoft Defender para Azure Cosmos DB
O Microsoft Defender for Azure Cosmos DB está agora disponível de forma geral (GA) e suporta tipos de conta API SQL (core).
Esta nova versão para GA faz parte da suíte de proteção de bases de dados Microsoft Defender para a Cloud, que inclui diferentes tipos de bases de dados SQL e MariaDB. Microsoft Defender for Azure Cosmos DB é uma camada nativa de segurança do Azure que deteta tentativas de explorar bases de dados nas suas contas Azure Cosmos DB.
Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, agentes mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações de seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas fornecem detalhes de atividades suspeitas, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
O Microsoft Defender for Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços do Azure Cosmos DB e cruza-os com o Microsoft Threat Intelligence e modelos comportamentais para detetar qualquer atividade suspeita. O Defender for Azure Cosmos DB não acede aos dados da conta do Azure Cosmos DB e não tem qualquer efeito no desempenho da sua base de dados.
Saiba mais sobre Microsoft Defender para Azure Cosmos DB.
Com a adição do suporte para Azure Cosmos DB, o Defender para a Cloud oferece agora uma das ofertas mais abrangentes de proteção de cargas de trabalho para bases de dados baseadas na cloud. As equipes de segurança e os proprietários de bancos de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados de seus ambientes.
Saiba como habilitar proteções para seus bancos de dados.
Disponibilidade geral (GA) do Defender para SQL em máquinas para ambientes AWS e GCP
As capacidades de proteção de bases de dados fornecidas pelo Microsoft Defender para a Cloud adicionaram suporte para os seus servidores SQL alojados em ambientes AWS ou GCP.
Defender for SQL, as empresas podem agora proteger todo o seu património de bases de dados, alojado em Azure, AWS, GCP e máquinas locais.
O Microsoft Defender for SQL oferece uma experiência multicloud unificada para visualizar recomendações de segurança, alertas de segurança e avaliações de vulnerabilidades tanto para o SQL Server como para o sistema operativo Windows subjacente.
Utilizando a experiência de onboarding multicloud, pode ativar e aplicar a proteção de bases de dados para servidores SQL a correr no AWS EC2, RDS Custom for SQL Server e GCP compute engine. Depois de ativar qualquer um desses planos, todos os recursos suportados que existem na assinatura são protegidos. Os recursos futuros criados na mesma subscrição também serão protegidos.
Aprenda a proteger e ligar o seu ambiente AWS e a sua organização GCP com Microsoft Defender para a Cloud.
Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
As crescentes ameaças atuais às organizações estendem os limites do pessoal de segurança para proteger suas cargas de trabalho em expansão. As equipas de segurança são desafiadas a implementar as proteções definidas nas suas políticas de segurança.
Agora, com a experiência de governança em visualização, as equipes de segurança podem atribuir recomendações de correção de segurança aos proprietários de recursos e exigir um cronograma de correção. Eles podem ter total transparência sobre o progresso da remediação e ser notificados quando as tarefas estão atrasadas.
Saiba mais sobre a experiência de governança em Conduzindo sua organização a corrigir problemas de segurança com governança de recomendação.
Filtrar alertas de segurança por endereço IP
Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção "Entidades relacionadas" no painel de alerta único. Agora, pode filtrar os alertas na página de alertas de segurança para ver os alertas relacionados com o endereço IP e pode procurar um endereço IP específico.
Alertas por grupo de recursos
A capacidade de filtrar, classificar e agrupar por grupo de recursos é adicionada à página Alertas de segurança.
Uma coluna de grupo de recursos é adicionada à grade de alertas.
É adicionado um novo filtro que lhe permite visualizar todos os alertas para grupos de recursos específicos.
Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas de cada um dos grupos de recursos.
Autoprovisionamento da solução unificada Microsoft Defender para Endpoint
Até agora, a integração com o Microsoft Defender para Endpoint (MDE) incluía a instalação automática da nova solução unificada MDE para máquinas (subscrições Azure e conectores multicloud) com Defender para o Plano de Servidores 1 ativado, e para conectores multicloud com Defender para servidores Plano 2 ativado. O plano 2 para subscrições do Azure permitiu a solução unificada apenas para máquinas Linux e servidores Windows 2019 e 2022. Os servidores Windows 2012R2 e 2016 usaram a solução legada MDE dependente do agente Log Analytics.
Agora, a nova solução unificada está disponível para todas as máquinas em ambos os planos, tanto para subscrições Azure como para conectores multicloud. Para Azure subscrições com o Plano de Servidores 2 que permitiram a integração do MDE após 20 de junho de 2022, a solução unificada está ativada por defeito para todas as máquinas Azure subscrições, com o Defender para o Plano 2 de Servidores ativado com integração MDE antes 20 de junho de 2022 pode agora permitir a instalação da solução unificada para Windows servidores 2012R2 e 2016 através do botão dedicado na página de Integrações:
Saiba mais sobre a integração do MDE com Defender for Servers.
Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
A política API App should only be accessible over HTTPS foi preterida. Esta política é substituída Web Application should only be accessible over HTTPS pela política, que é renomeada para App Service apps should only be accessible over HTTPS.
Para saber mais sobre definições de políticas para Serviço de Aplicações do Azure, consulte Azure Policy definições incorporadas para Serviço de Aplicações do Azure.
Novos alertas do Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Key Vault, adicionámos dois novos alertas.
Estes alertas informam-no de uma anomalia de acesso negado, detetada em qualquer um dos seus cofres de chaves.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Acesso incomum negado - Usuário que acessa alto volume de cofres de chaves negado (KV_DeniedAccountVolumeAnomaly) |
Um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Discovery | Low |
|
Acesso incomum negado - Usuário incomum acessando cofre de chaves negado (KV_UserAccessDeniedAnomaly) |
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. | Acesso inicial, descoberta | Low |
Maio de 2022
As atualizações em maio incluem:
- As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
- O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
- Adicione e remova o sensor de Defender para clusters AKS usando o CLI
As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
Agora existem definições ao nível do conector para o Defender for Servers em multicloud.
As novas configurações no nível do conector fornecem granularidade para definição de preço e provisionamento automático por conector, independentemente da assinatura.
Todos os componentes de autoprovisionamento disponíveis ao nível do conector (Azure Arc, MDE e avaliações de vulnerabilidades) estão ativados por defeito, e a nova configuração suporta tanto os escalões de preços Plan 1 como Plan 2.
As atualizações na interface do usuário incluem um reflexo da camada de preço selecionada e dos componentes necessários configurados.
Alterações à avaliação da vulnerabilidade
O Defender for Containers agora apresenta vulnerabilidades de gravidade média e baixa que não são corrigíveis.
Como parte desta atualização, as vulnerabilidades que têm gravidades médias e baixas são agora mostradas, quer os patches estejam ou não disponíveis. Esta atualização fornece visibilidade máxima, mas ainda permite filtrar vulnerabilidades indesejadas usando a regra Desativar fornecida.
Saiba mais sobre a gestão de vulnerabilidades
O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
Quando você conecta contas da AWS, o JIT avalia automaticamente a configuração de rede dos grupos de segurança da sua instância e recomenda quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isto é semelhante ao funcionamento do JIT com o Azure. Quando você integra instâncias desprotegidas do EC2, o JIT bloqueia o acesso público às portas de gerenciamento e só as abre com solicitações autorizadas por um período de tempo limitado.
Saiba como o JIT protege suas instâncias do AWS EC2
Adicionar e remover o sensor Defender para clusters AKS usando a CLI
O agente Defender é necessário para Defender dos Contentores fornecer as proteções em tempo de execução e recolher sinais dos nós. Agora podes usar o CLI do Azure para add e remover o agente Defender para um cluster AKS.
Note
Esta opção está incluída em CLI do Azure 3.7 e superiores.
Abril de 2022
As atualizações em abril incluem:
- Novos planos Defender para servidores
- Realocação de recomendações personalizadas
- Script do PowerShell para transmitir alertas para Splunk e QRadar
- Depreciou a recomendação Cache do Azure para Redis
- Nova variante de alerta para Microsoft Defender para Armazenamento (pré-visualização) para detetar exposição de dados sensíveis
- Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
- Ver os registos de atividade relacionados com um alerta de segurança
Novos planos Defender para Servidores
O Microsoft Defender para Servidores é agora oferecido em dois planos incrementais:
- Defender for Servers Plan 2, anteriormente Defender for Servers
- O Defender for Servers Plan 1 oferece suporte apenas para Microsoft Defender para Endpoint
Enquanto o Defender for Servers Plan 2 continua a fornecer proteções contra ameaças e vulnerabilidades para as suas cargas de trabalho na cloud e on-premises, o Defender for Servers Plan 1 fornece apenas proteção para endpoints, alimentado pelo Defender for Endpoint, integrado nativamente. Leia mais sobre o Defender para planos de servidores.
Se tens usado o Defender para servidores até agora, não é necessária qualquer ação.
Além disso, Defender para a Cloud também começa o suporte gradual para o Defender para o agente unificado Endpoint para Windows Server 2012 R2 e 2016. O Defender for Servers Plan 1 implementa o novo agente unificado para as cargas de trabalho do Windows Server 2012 R2 e 2016.
Realocação de recomendações personalizadas
As recomendações personalizadas são aquelas criadas pelos usuários e não têm efeito sobre a pontuação segura. As recomendações personalizadas agora podem ser encontradas na guia Todas as recomendações.
Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.
Saiba mais em Criar iniciativas e políticas de segurança personalizadas.
Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar
Recomendamos que você use Hubs de Eventos e um conector integrado para exportar alertas de segurança para o Splunk e o IBM QRadar. Agora pode usar um script PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para a sua subscrição ou inquilino.
Basta baixar e executar o script do PowerShell. Depois de fornecer alguns detalhes do seu ambiente, o script configura os recursos para você. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.
Para saber mais, consulte Transmitir alertas para Splunk e QRadar.
Descontinuou a recomendação do Cache do Azure para Redis
A recomendação Cache do Azure para Redis should reside within a virtual network (Pré-visualização) está obsoleta. Alterámos as nossas orientações para proteger o Cache do Azure para Redis instances. Recomendamos o uso de um endpoint privado para restringir o acesso à sua instância Cache do Azure para Redis, em vez de uma rede virtual.
Nova variante de alerta para Microsoft Defender for Storage (pré-visualização) para detetar exposição de dados sensíveis
Os alertas do Microsoft Defender for Storage notificam-no quando agentes ameaçadores tentam analisar e expor, com sucesso ou não, contentores de armazenamento mal configurados e abertos publicamente para tentar exfiltrar informação sensível.
Para permitir uma triagem e um tempo de resposta mais rápidos, quando a exfiltração de dados potencialmente confidenciais pode ter ocorrido, lançamos uma nova variação para o alerta existente Publicly accessible storage containers have been exposed .
O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é acionado com um High nível de gravidade, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles podem conter informações confidenciais.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
PREVIEW - Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguém digitalizou a sua conta do Armazenamento do Azure e os contentores expostos que permitem acesso público. Um ou mais dos contêineres expostos têm nomes que indicam que eles podem conter dados confidenciais. Isso geralmente indica reconhecimento por um agente de ameaça que está verificando se há contêineres de armazenamento acessíveis publicamente configurados incorretamente que possam conter dados confidenciais. Depois que um agente de ameaça descobre com êxito um contêiner, ele pode continuar exfiltrando os dados. ✔ Armazenamento de Blobs do Azure ✖ Ficheiros do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um agente de ameaça conhecido ou de um ator que está usando a rede Tor para ocultar sua identidade. Ambos os indicadores sugerem que há intenção maliciosa. A reputação do endereço IP é fornecida pela Microsoft Threat Intelligence.
A adição da reputação do endereço IP ao título do alerta fornece uma maneira de avaliar rapidamente a intenção do ator e, portanto, a gravidade da ameaça.
Os seguintes alertas incluirão estas informações:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por exemplo, as informações adicionadas ao título do Publicly accessible storage containers have been exposed alerta terão esta aparência:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todos os alertas para o Microsoft Defender for Storage continuarão a incluir informações de inteligência de ameaças na entidade IP, na secção de Entidades Relacionadas do alerta.
Ver os registos de atividade relacionados com um alerta de segurança
Como parte das ações que você pode tomar para avaliar um alerta de segurança, você pode encontrar os logs da plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender para a Cloud identifica registos da plataforma que ocorrem dentro de um dia após o alerta.
Os logs da plataforma podem ajudá-lo a avaliar a ameaça à segurança e identificar as etapas que você pode tomar para mitigar o risco identificado.
Março de 2022
As atualizações em março incluem:
- Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
- Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
- Defender para Containers pode agora analisar vulnerabilidades em imagens Windows (pré-visualização)
- Novo alerta para Microsoft Defender de Armazenamento (pré-visualização)
- Definir definições de notificações por e-mail a partir de um alerta
- Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
- Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
- Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
- Recomendações de dispositivos Microsoft Defender para IoT obsoletos
- Alertas de dispositivos Microsoft Defender para IoT descontinuados
- Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
- A varredura Registry para imagens de Windows no ACR adicionou suporte para clouds nacionais
Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
As capacidades de gestão da postura de segurança cloud fornecidas pelo Microsoft Defender para a Cloud adicionaram agora suporte para os seus ambientes AWS e GCP dentro do seu Secure Score.
As empresas podem agora visualizar a sua postura global de segurança, em vários ambientes, como Azure, AWS e GCP.
A página Pontuação segura é substituída pelo painel Postura de segurança. O painel Postura de segurança permite que você visualize uma pontuação geral combinada para todos os seus ambientes ou um detalhamento de sua postura de segurança com base em qualquer combinação de ambientes que você escolher.
A página Recomendações também foi redesenhada para fornecer novos recursos, tais como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta da AWS, projeto GCP e muito mais), interface de usuário aprimorada em baixa resolução, suporte para consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura geral de segurança e recomendações de segurança.
Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
As alterações no nosso roteiro e prioridades eliminaram a necessidade do agente de recolha de dados de tráfego de rede. As duas recomendações a seguir e suas políticas relacionadas foram preteridas.
| Recommendation | Description | Severity |
|---|---|---|
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | O Defender para a Cloud utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | Medium |
| O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | O Defender para a Cloud utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | Medium |
O Defender for Containers pode agora analisar vulnerabilidades nas imagens do Windows (pré-visualização)
A digitalização de imagens do Defender for Container agora suporta imagens do Windows alojadas no Azure Container Registry. Este recurso é gratuito durante a pré-visualização e incorrerá em um custo quando estiver disponível ao público.
Saiba mais em Use Microsoft Defender for Container para analisar as suas imagens à procura de vulnerabilidades.
Novo alerta para Microsoft Defender for Storage (pré-visualização)
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Storage, adicionámos um novo alerta de pré-visualização.
Os agentes de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender for Storage deteta estas aplicações e ferramentas para que possa bloqueá-las e corrigir a sua postura.
Este alerta de pré-visualização chama-se Access from a suspicious application. O alerta é relevante apenas para Armazenamento de Blobs do Azure e ADLS Gen2.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
PREVIEW - Acesso a partir de uma aplicação suspeita (Storage.Blob_SuspiciousApp) |
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado em sua organização. Aplica a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2 |
Acesso inicial | Medium |
Definir definições de notificações por e-mail a partir de um alerta
Uma nova seção foi adicionada à interface do usuário (UI) de alerta que permite visualizar e editar quem receberá notificações por e-mail para alertas que são acionados na assinatura atual.
Saiba como Configurar notificações por e-mail para alertas de segurança.
Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
O seguinte alerta de pré-visualização foi preterido:
| Nome do alerta | Description |
|---|---|
|
PREVIEW - Atividade de um endereço IP arriscado (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
A atividade dos usuários a partir de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detetada. Esses proxies são usados por pessoas que querem ocultar o endereço IP do dispositivo e podem ser usados para intenções maliciosas. Essa deteção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização. Requer uma licença ativa do Microsoft Defender for Cloud Apps. |
Foi criado um novo alerta que fornece essas informações e as complementa. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem licença para Microsoft Defender for Cloud Apps (anteriormente conhecida como Microsoft Cloud App Security).
Veja mais alertas para Resource Manager.
Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de pontuação segura para a seção de melhores práticas.
A experiência atual do usuário só fornece a pontuação quando todas as verificações de conformidade foram aprovadas. A maioria dos clientes tem dificuldades em cumprir todas as verificações exigidas. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, uma vez lançada, a recomendação será movida de volta para a pontuação segura.
Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
À medida que as organizações se afastam do uso de certificados de gestão para gerir as suas subscrições, e o nosso recente anúncio de que vamos retirar o modelo de implementação dos Cloud Services (clássico), desvalorizámos a seguinte recomendação Defender para a Cloud e a sua política relacionada:
| Recommendation | Description | Severity |
|---|---|---|
| As entidades de serviço devem ser usadas para proteger suas assinaturas em vez de Certificados de Gerenciamento | Os certificados de gerenciamento permitem que qualquer pessoa que se autentique com eles gerencie a(s) assinatura(s) à qual estão associados. Para gerir subscrições de forma mais segura, recomenda-se a utilização de princípios de serviço com o Resource Manager para limitar o raio de explosão em caso de comprometimento de certificado. Também automatiza a gestão de recursos. (Política relacionada: As entidades de serviço devem ser utilizadas para proteger as suas subscrições em vez de certificados de gestão) |
Medium |
Saiba mais:
- O modelo de implantação dos Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
- Visão geral do Serviços Cloud do Azure (clássico)
- Fluxo de trabalho da Microsoft Azure arquitetura clássica de VM - incluindo os fundamentos do fluxo de trabalho RDFE
Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
A implementação legada da ISO 27001 foi removida do painel de conformidade regulatória do Defender para a Cloud. Se estiver a acompanhar a sua conformidade ISO 27001 com o Defender para a Cloud, aceite a nova norma ISO 27001:2013 para todos os grupos de gestão ou subscrições relevantes.
O painel de conformidade regulamentar do 
Recomendações de dispositivos Microsoft Defender para IoT obsoletos
As recomendações de dispositivos Microsoft Defender para IoT já não são visíveis no Microsoft Defender para a Cloud. Estas recomendações continuam disponíveis na página de Recomendações do Microsoft Defender para IoT.
As seguintes recomendações foram preteridas:
| Chave de avaliação | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivos IoT | Abrir portas no dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivos IoT | Foi encontrada uma política de firewall permissiva em uma das cadeias |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de saída |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivos IoT | Falha na validação da linha de base do sistema operacional |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivos IoT | Agente enviando mensagens subutilizadas |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivos IoT | Atualização necessária do pacote de codificação TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivos IoT |
Auditd processo parou de enviar eventos |
Alertas obsoletos do Microsoft Defender para IoT para dispositivos
Todos os alertas de dispositivos Defender for IoT da Microsoft já não são visíveis no Microsoft Defender para a Cloud. Estes alertas continuam disponíveis na página de Alertas do Microsoft Defender para IoT e no Microsoft Sentinel.
Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
As funcionalidades CSPM do Defender para a Cloud estendem-se aos teus recursos AWS e GCP. Este plano sem agente avalia os seus recursos multicloud de acordo com as recomendações de segurança específicas da nuvem incluídas na sua pontuação segura. Os recursos são avaliados quanto à conformidade usando os padrões integrados. A página de inventário de ativos do Defender para a Cloud é uma funcionalidade multicloud que lhe permite gerir os seus recursos AWS juntamente com os seus recursos Azure.
Microsoft Defender para servidores traz deteção de ameaças e defesas avançadas para as suas instâncias computacionais na AWS e GCP. O plano Defender for Servers inclui uma licença integrada para Microsoft Defender para Endpoint, análise de vulnerabilidades, entre outros. Saiba mais sobre todos os recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitem que você conecte facilmente quaisquer instâncias de computação novas ou existentes descobertas em seu ambiente.
Aprenda a proteger e ligar o seu ambiente AWS e GCP organização com Microsoft Defender para a Cloud.
A varredura de registos para imagens Windows no ACR adicionou suporte para clouds nacionais
A varredura do registo para imagens do Windows é agora suportada no Azure Government e no Microsoft Azure operados pela 21Vianet. Esta adição está atualmente em pré-visualização.
Saiba mais sobre a disponibilidade do nosso recurso.
Fevereiro de 2022
As atualizações em fevereiro incluem:
- Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
- CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
- Microsoft Defender para Azure Cosmos DB plano lançado para pré-visualização
- Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
O Defender for Containers anteriormente protegia apenas cargas de trabalho Kubernetes a correr no Azure Kubernetes Service. Agora alargámos a cobertura protetora para incluir clusters Kubernetes com Azure Arc.
Aprenda a configurar proteção de carga de trabalho Kubernetes para clusters Kubernetes ativados por AKS e Azure Arc.
CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
A nova integração automatizada dos ambientes GCP permite-lhe proteger cargas de trabalho GCP com o Microsoft Defender para a Cloud. A Defender para a Cloud protege os seus recursos com os seguintes planos:
As funcionalidades CSPM da
Defender para a Cloud estendem-se aos teus recursos GCP. Este plano sem agente avalia os seus recursos GCP de acordo com as recomendações de segurança específicas para GCP, que são fornecidas com o Defender para a Cloud. As recomendações do GCP estão incluídas em sua pontuação segura e os recursos serão avaliados quanto à conformidade com o padrão GCP CIS integrado. A página de inventário de ativos do Defender para a Cloud é uma funcionalidade multicloud que o ajuda a gerir os seus recursos através do Azure, AWS e GCP. Microsoft Defender para servidores traz deteção de ameaças e defesas avançadas para as suas instâncias de computação GCP. Este plano inclui a licença integrada do Microsoft Defender para Endpoint, análise de vulnerabilidades, entre outros.
Para obter uma lista completa dos recursos disponíveis, consulte Recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitirão que você conecte facilmente quaisquer instâncias de computação existentes e novas descobertas em seu ambiente.
Aprenda a proteger e a ligar os seus projetos GCP com Microsoft Defender para a Cloud.
Plano Microsoft Defender for Azure Cosmos DB lançado para pré-visualização
Alargámos a cobertura das bases de dados do Microsoft Defender para a Cloud. Agora pode ativar a proteção para as suas bases de dados do Azure Cosmos DB.
Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta qualquer tentativa de explorar bases de dados nas suas contas Azure Cosmos DB. O Microsoft Defender for Azure Cosmos DB deteta potenciais injeções SQL, agentes maliciosos conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potencial exploração da sua base de dados através de identidades comprometidas ou insiders maliciosos.
Analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Estes alertas são exibidos no Microsoft Defender para a Cloud juntamente com os detalhes da atividade suspeita, bem como os passos de investigação relevantes, ações de remediação e recomendações de segurança.
Não há impacto no desempenho da base de dados ao ativar o serviço, porque o Defender for Azure Cosmos DB não acede aos dados da conta do Azure Cosmos DB.
Saiba mais em Visão geral da Microsoft Defender para Azure Cosmos DB.
Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Agora pode ativar o Microsoft Defender para a Cloud Protection na sua subscrição para proteger todos os tipos de bases de dados, como Azure Cosmos DB, Base de Dados SQL do Azure, servidores SQL do Azure em máquinas e Microsoft Defender para bases de dados relacionais de código aberto através de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos configurando seu plano.
Saiba como ativar a segurança da sua base de dados ao nível da subscrição.
Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Após o nosso recente anúncio Native CSPM para GCP e proteção contra ameaças para instâncias de computação GCP, a Microsoft Defender para Containers estendeu as suas políticas de proteção contra ameaças Kubernetes, análises comportamentais e controlo de admissão incorporadas aos clusters do Padrão Kubernetes Engine (GKE) da Google. Você pode facilmente integrar qualquer cluster GKE Standard existente ou novo ao seu ambiente por meio de nossos recursos de integração automática. Consulte Container security com Microsoft Defender para a Cloud para uma lista completa das funcionalidades disponíveis.
Janeiro de 2022
As atualizações em janeiro incluem:
Microsoft Defender para Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT& Matriz CK® - Recomendações para permitir planos em Microsoft Defender em espaços de trabalho (em pré-visualização)
- Autoprovision Log Analytics agente para máquinas habilitadas por Azure Arc (pré-visualização)
- Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
- Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
- Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
- Duas recomendações renomeadas
- Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
- Pasta de trabalho 'Alertas Ativos' adicionada
- Recomendação de 'atualização do sistema' adicionada à nuvem do governo
Microsoft Defender for Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT& Matriz CK®
A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, também é um alvo potencial para os atacantes. Recomendamos que as equipes de operações de segurança monitorem de perto a camada de gerenciamento de recursos.
O Microsoft Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização, quer sejam realizadas através do portal Azure, APIs REST do Azure, CLI do Azure ou outros clientes programáticos do Azure. O Defender para a Cloud executa análises avançadas de segurança para detetar ameaças e alerta sobre atividades suspeitas.
As proteções do plano aumentam significativamente a resiliência de uma organização contra ataques de atores ameaçadores e aumentam significativamente o número de recursos Azure protegidos pelo Defender para a Cloud.
Em dezembro de 2020, introduzimos a pré-visualização do Defender para o Resource Manager, e em maio de 2021 o plano foi lançado para disponibilidade geral.
Com esta atualização, revisámos de forma abrangente o foco do plano Microsoft Defender for Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocação suspeita de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo para ataques em toda amatriz MITRE ATT&CK® para técnicas baseadas em nuvem.
Essa matriz abrange a seguinte gama de intenções potenciais de agentes de ameaças que podem estar visando os recursos da sua organização: Acesso Inicial, Execução, Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Exfiltração e Impacto.
Os novos alertas para este plano Defender cobrem estas intenções, conforme mostrado na tabela seguinte.
Tip
Esses alertas também aparecem na página de referência de alertas.
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Severity |
|---|---|---|---|
|
Invocação suspeita de uma operação de "Acesso Inicial" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.InitialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Acesso inicial | Medium |
|
Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Execution) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco numa máquina da sua subscrição, o que pode indicar uma tentativa de execução de código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Execution | Medium |
|
Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Persistence) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Persistence | Medium |
|
Invocação suspeita de uma operação de "Escalonamento de privilégios" de alto risco detetada (visualização) (ARM_AnomalousOperation.PrivilegeEscalation) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Escalonamento de privilégios | Medium |
|
Detetada invocação suspeita de uma operação de "evasão de defesa" de alto risco (Pré-visualização) (ARM_AnomalousOperation.DefenseEvasion) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de evasão às defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Evasão de Defesa | Medium |
|
Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco detetada (visualização) (ARM_AnomalousOperation.CredentialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a credenciais. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Acesso a credenciais | Medium |
|
Detetada invocação suspeita de uma operação de «Movimento Lateral» de alto risco (Pré-visualização) (ARM_AnomalousOperation.LateralMovement) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Movimento Lateral | Medium |
|
Detetada invocação suspeita de uma operação de «Recolha de Dados» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Collection) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Collection | Medium |
|
Detetada invocação suspeita de uma operação «Impacto» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Impact) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Impact | Medium |
Além disso, estes dois alertas deste plano saíram da pré-visualização:
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Severity |
|---|---|---|---|
|
Azure Resource Manager operação a partir de endereço IP suspeito (ARM_OperationFromSuspiciousIP) |
O Microsoft Defender for Resource Manager detetou uma operação a partir de um endereço IP que foi marcado como suspeito nos feeds de inteligência de ameaças. | Execution | Medium |
|
Azure Resource Manager operação a partir do endereço IP proxy suspeito (ARM_OperationFromSuspiciousProxyIP) |
O Microsoft Defender for Resource Manager detetou uma operação de gestão de recursos a partir de um endereço IP associado a serviços proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Evasão de Defesa | Medium |
Recomendações para ativar planos Microsoft Defender em espaços de trabalho (em pré-visualização)
Para beneficiar de todas as funcionalidades de segurança disponíveis em Microsoft Defender para Servidores e Microsoft Defender para SQL em máquinas, os planos devem estar ativados nos níveis ambos nos níveis de subscrição e espaço de trabalho.
Quando uma máquina estiver em uma assinatura com um desses planos ativado, você será cobrado pelas proteções completas. No entanto, se essa máquina estiver relatando para um espaço de trabalho sem o plano habilitado, você não receberá esses benefícios.
Adicionamos duas recomendações que destacam espaços de trabalho sem esses planos habilitados, que, no entanto, têm máquinas relatando a eles a partir de assinaturas que têm o plano habilitado.
As duas recomendações, que oferecem remediação automatizada (a ação 'Fix'), são:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender para servidores deve estar ativado nos espaços de trabalho | O Microsoft Defender for Servers traz deteção de ameaças e defesas avançadas para as suas máquinas Windows e Linux. Com este plano Defender ativado nas suas subscrições mas não nos seus espaços de trabalho, está a pagar pela capacidade total do Microsoft Defender for Servers, mas a perder alguns dos benefícios. Quando ativas o Microsoft Defender para Servidores num espaço de trabalho, todas as máquinas que reportam a esse espaço serão cobradas pelo Microsoft Defender para Servidores – mesmo que estejam em subscrições sem planos Defender ativados. A menos que também atives o Microsoft Defender para Servidores na subscrição, essas máquinas não poderão tirar partido do acesso just-in-time à VM, controlos adaptativos de aplicações e deteções de rede para recursos do Azure. Saiba mais em Visão Geral da Microsoft Defender para Servidores. (Nenhuma política relacionada) |
Medium |
| Microsoft Defender para SQL em máquinas deve estar ativado nos workspaces | O Microsoft Defender for Servers traz deteção de ameaças e defesas avançadas para as suas máquinas Windows e Linux. Com este plano Defender ativado nas suas subscrições mas não nos seus espaços de trabalho, está a pagar pela capacidade total do Microsoft Defender for Servers, mas a perder alguns dos benefícios. Quando ativas o Microsoft Defender para Servidores num espaço de trabalho, todas as máquinas que reportam a esse espaço serão cobradas pelo Microsoft Defender para Servidores – mesmo que estejam em subscrições sem planos Defender ativados. A menos que também atives o Microsoft Defender para Servidores na subscrição, essas máquinas não poderão tirar partido do acesso just-in-time à VM, controlos adaptativos de aplicações e deteções de rede para recursos do Azure. Saiba mais em Visão Geral da Microsoft Defender para Servidores. (Nenhuma política relacionada) |
Medium |
Autoprovision Log Analytics agent para máquinas com Azure Arc (pré-visualização)
O Defender para a Cloud utiliza o agente Log Analytics para recolher dados relacionados com segurança das máquinas. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu espaço de trabalho para análise.
As definições de autoprovisionamento do Defender para a Cloud têm uma opção para cada tipo de extensão suportada, incluindo o agente Log Analytics.
Numa expansão adicional das nossas funcionalidades de cloud híbrida, adicionámos uma opção para autoprovisionar o agente Log Analytics em máquinas ligadas ao Azure Arc.
Assim como as outras opções de provisionamento automático, isso é configurado no nível da assinatura.
Ao habilitar essa opção, você será solicitado para o espaço de trabalho.
Note
Para esta pré-visualização, não pode selecionar o espaço de trabalho padrão criado pelo Defender para a Cloud. Para garantir que recebe o conjunto completo de funcionalidades de segurança disponíveis para os servidores com Azure Arc, verifique se tem a solução de segurança relevante instalada no espaço de trabalho selecionado.
Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
Removemos a recomendação Dados sensíveis nas suas bases de dados SQL devem ser classificados como parte de uma reformulação da forma como Defender para a Cloud identifica e protege datas sensíveis nos seus recursos cloud.
O aviso prévio desta alteração apareceu nos últimos seis meses na página Alterações importantes futuras para Microsoft Defender para a Cloud.
Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
O alerta seguinte estava anteriormente disponível apenas para organizações que tinham ativado o plano Microsoft Defender para DNS.
Com esta atualização, o alerta também aparecerá para subscrições com o plano Microsoft Defender para Servidores ou Defender para o plano de Serviços de Aplicações ativado.
Além disso, a Microsoft Threat Intelligence expandiu a lista de domínios maliciosos conhecidos para incluir domínios associados à exploração das vulnerabilidades amplamente divulgadas associadas ao Log4j.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Comunicação com domínio suspeito identificado por informações sobre ameaças (AzureDNS_ThreatIntelSuspectDomain) |
A comunicação com domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios maliciosos conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido. | Acesso Inicial / Persistência / Execução / Comando e Controlo / Exploração | Medium |
Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.
O novo botão Copiar alerta JSON coloca os detalhes do alerta, em formato JSON, na área de transferência do usuário.
Duas recomendações renomeadas
Para consistência com outros nomes de recomendação, renomeamos as duas recomendações a seguir:
Recomendação para resolver vulnerabilidades descobertas na execução de imagens de contêiner
- Nome anterior: Vulnerabilidades na execução de imagens de contêiner devem ser corrigidas (alimentado pela Qualys)
- Novo nome: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas
Recomendação para ativar logs de diagnóstico para Serviço de Aplicações do Azure
- Nome anterior: os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
- Novo nome: os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
Substituímos que os contêineres de cluster do Kubernetes só devem escutar na recomendação de portas permitidas.
| Nome da política | Description | Effect(s) | Version |
|---|---|---|---|
| Os contêineres de cluster do Kubernetes só devem escutar nas portas permitidas | Restrinja os contêineres para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para pré-visualização para o AKS Engine e o Kubernetes com Azure Arc. Para mais informações, veja Understand Azure Policy para clusters Kubernetes. | auditoria, negar, desativado | 6.1.2 |
Os Serviços devem escutar apenas as portas permitidas A recomendação deve ser usada para limitar as portas que um aplicativo expõe à Internet.
Pasta de trabalho 'Alerta Ativo' adicionada
Para ajudar nossos usuários a entender as ameaças ativas a seus ambientes e priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.
A pasta de trabalho de alertas ativos permite que os usuários visualizem um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas ativos'.
Recomendação de 'atualização do sistema' adicionada à nuvem do governo
A recomendação 'Atualizações do sistema devem ser instaladas em suas máquinas' já está disponível em todas as nuvens governamentais.
É provável que essa alteração afete a pontuação segura da sua assinatura de nuvem do governo. Esperamos que a mudança leve a uma diminuição da pontuação, mas é possível que a inclusão da recomendação possa resultar em um aumento da pontuação em alguns casos.
Dezembro de 2021
As atualizações em dezembro incluem:
- Microsoft Defender para o plano Contentores lançado para disponibilidade geral (GA)
- Novos alertas para Microsoft Defender for Storage lançados para disponibilidade geral (GA)
- Melhorias nos alertas para Microsoft Defender para Armazenamento
- Alerta 'PortSweeping' removido dos alertas da camada de rede
Plano Microsoft Defender for Containers lançado para disponibilidade geral (GA)
Há mais de dois anos, introduzimos Defender para Kubernetes e Defender para registos de contentores como parte da oferta Azure Defender dentro de Microsoft Defender para a Cloud.
Com o lançamento do Microsoft Defender para Contentores, fundimos estes dois planos de Defender existentes.
O novo plano:
- Combina os recursos dos dois planos existentes - deteção de ameaças para clusters Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
- Traz recursos novos e aprimorados - incluindo suporte multicloud, deteção de ameaças no nível do host com mais de sessenta novas análises com reconhecimento de Kubernetes e avaliação de vulnerabilidade para execução de imagens
- Introduz a integração em escala nativa do Kubernetes - por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente
Com esta versão, a disponibilidade e apresentação do Defender para Kubernetes e do Defender para registos de contentores mudou da seguinte forma:
- Novas subscrições - Os dois planos de contentores anteriores já não estão disponíveis
- Subscrições existentes - Onde quer que apareçam no portal Azure, os planos são mostrados como Despreciado com instruções de como atualizar para o plano mais recente
O novo plano é gratuito para o mês de dezembro de 2021. Para as potenciais alterações na faturação dos planos antigos para Defender de Containers, e para mais informações sobre os benefícios introduzidos com este plano, consulte Introducing Microsoft Defender for Containers.
Para obter mais informações, consulte:
- Visão geral da Microsoft Defender para Contentores
- Ativar Microsoft Defender para Containers
- Apresentando Microsoft Defender para Contentores - Microsoft Comunidade Tecnológica
- Microsoft Defender para contentores | Defender para a Cloud no Campo #3 - YouTube
Novos alertas para Microsoft Defender for Storage lançados para disponibilidade geral (GA)
Os agentes de ameaças usam ferramentas e scripts para procurar contêineres abertos publicamente na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais.
O Microsoft Defender for Storage deteta estes scanners para que possas bloqueá-los e corrigir a tua postura.
O alerta de visualização que detetou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, dividimos isso em dois novos alertas. Estes alertas são relevantes apenas para o Armazenamento de Blobs do Azure.
Melhorámos a lógica de deteção, atualizámos os metadados do alerta e alterámos o nome e o tipo de alerta.
Estes são os novos alertas:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Contêineres de armazenamento acessíveis ao público descobertos com êxito (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de varredura. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Ficheiros do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Contêineres de armazenamento acessíveis publicamente verificados sem êxito (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Uma série de tentativas fracassadas de verificar se há contêineres de armazenamento abertos publicamente foram realizadas na última hora. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Ficheiros do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Visão geral da Microsoft Defender para Armazenamento
- Lista de alertas fornecidos pela Microsoft Defender para Armazenamento
Melhorias nos alertas para Microsoft Defender for Storage
Os alertas de acesso iniciais agora têm maior precisão e mais dados para apoiar a investigação.
Os agentes de ameaças usam várias técnicas no acesso inicial para ganhar uma posição dentro de uma rede. Dois dos alertas Microsoft Defender para Armazenamento que detetam anomalias comportamentais nesta fase têm agora lógica de deteção melhorada e dados adicionais para apoiar investigações.
Se você configurou automações ou definiu regras de supressão de alertas para esses alertas no passado, atualize-as de acordo com essas alterações.
Detetando o acesso de um nó de saída do Tor
O acesso de um nó de saída do Tor pode indicar um agente de ameaça tentando ocultar sua identidade.
O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
Um padrão periférico terá alta gravidade, enquanto padrões menos anômalos terão gravidade média.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): Acesso de um nó de saída do Tor a uma conta de armazenamento
- Nome do alerta (novo): Acesso autenticado de um nó de saída do Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descrição: Um ou mais contêineres de armazenamento / compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizante). Os agentes de ameaças usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade. Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
- Tática MITRE: Acesso inicial
- Gravidade: Alta/Média
Acesso não autenticado incomum
Uma alteração nos padrões de acesso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.
Este alerta de gravidade média está agora sintonizado com uma lógica comportamental melhorada, maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
- Nome do alerta (novo): Acesso não autenticado incomum a um contêiner de armazenamento
- Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descrição: Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura ao(s) contêiner(es) de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure
- Tática MITRE: Coleção
- Gravidade: Média
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Introdução à Microsoft Defender para Armazenamento
- Lista de alertas fornecidos pela Microsoft Defender para Armazenamento
Alerta 'PortSweeping' removido dos alertas da camada de rede
O seguinte alerta foi removido dos nossos alertas de camada de rede devido a ineficiências:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Possível atividade de varredura de porta de saída detetada (PortSweeping) |
A análise de tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido}. Esse tráfego pode ser resultado de uma atividade de varredura de portas. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Se este comportamento for intencional, note que a análise de portas vai contra os Termos de Serviço do Azure. Se esse comportamento não for intencional, isso pode significar que seu recurso foi comprometido. | Discovery | Medium |
Novembro de 2021
Nossa versão Ignite inclui:
- Centro de Segurança do Azure e Azure Defender tornam-se Microsoft Defender para a Cloud
- CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
- Priorizar ações de segurança por sensibilidade de dados (alimentado por Microsoft Purview) (em pré-visualização)
- Avaliações de controlo de segurança expandidas com o Azure Security Benchmark v3
- Sincronização opcional de alerta bidirecional do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
- Nova recomendação para empurrar Azure Kubernetes Service (AKS) registos para Microsoft Sentinel
- Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Outras mudanças em novembro incluem:
- Microsoft Gestão de Ameaças e Vulnerabilidades adicionada como solução de avaliação de vulnerabilidades - lançada para disponibilidade geral (GA)
- Microsoft Defender para Endpoint para Linux agora suportado pela Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
- Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
- Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
- Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
- Nova política de segurança AKS adicionada à iniciativa padrão – visualização
- A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
Centro de Segurança do Azure e Azure Defender tornam-se Microsoft Defender para a Cloud
De acordo com o relatório State of the Cloud 2021, 92% das organizações agora têm uma estratégia multicloud. Na Microsoft, o nosso objetivo é centralizar a segurança em vários ambientes e ajudar as equipas de segurança a trabalhar de forma mais eficaz.
Microsoft Defender para a Cloud é uma solução Cloud Security Posture Management (CSPM) e Cloud Workload Protection Platform (CWPP) que descobre fraquezas na sua configuração cloud, ajuda a fortalecer a postura geral de segurança do seu ambiente e protege cargas de trabalho em ambientes multicloud e híbridos.
Na Ignite 2019, partilhámos a nossa visão de criar a abordagem mais completa para proteger o seu património digital e integrar tecnologias XDR sob a marca Microsoft Defender. Unificar Centro de Segurança do Azure e Azure Defender sob o novo nome Microsoft Defender para a Cloud reflete as capacidades integradas da nossa oferta de segurança e a nossa capacidade de suportar qualquer plataforma cloud.
CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
Uma nova página de configurações de ambiente oferece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas da AWS. A página foi projetada para integrar contas da AWS em escala: conecte sua conta de gerenciamento da AWS e você integrará automaticamente contas existentes e futuras.
Quando adiciona as suas contas AWS, o Defender para a Cloud protege os seus recursos AWS com qualquer um ou todos os seguintes planos:
- As funcionalidades CSPM da Defender para a Cloud estendem-se aos teus recursos AWS. Esse plano sem agente avalia seus recursos da AWS de acordo com recomendações de segurança específicas da AWS e elas estão incluídas em sua pontuação segura. Os recursos também serão avaliados quanto à conformidade com padrões integrados específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário ativos da Defender para a Cloud é uma funcionalidade multicloud que o ajuda a gerir os seus recursos AWS juntamente com os seus recursos Azure.
- Microsoft Defender para Kubernetes estende a sua deteção de ameaças de contentores e defesas avançadas aos seus clusters Linux Amazon EKS.
- Microsoft Defender para servidores traz deteção de ameaças e defesas avançadas para as suas instâncias de Windows e Linux EC2. Este plano inclui a licença integrada para Microsoft Defender para Endpoint, linhas de base de segurança e avaliações ao nível do sistema operativo, análise de vulnerabilidades, controlos adaptativos de aplicações (AAC), monitorização da integridade de ficheiros (FIM) e muito mais.
Saiba mais sobre ligar as suas contas AWS ao Microsoft Defender para a Cloud.
Priorizar ações de segurança por sensibilidade de dados (alimentado pela Microsoft Purview) (em pré-visualização)
Os recursos de dados continuam a ser um alvo popular para os agentes de ameaças. Por isso, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais em seus ambientes de nuvem.
Para resolver este desafio, Microsoft Defender para a Cloud agora integra informação de sensibilidade de Microsoft Purview. Microsoft Purview é um serviço unificado de governação de dados que fornece insights profundos sobre a sensibilidade dos seus dados dentro de cargas de trabalho multicloud e on-premises.
A integração com o Microsoft Purview estende a sua visibilidade de segurança no Defender para a Cloud desde o nível da infraestrutura até aos dados, permitindo uma forma totalmente nova de priorizar recursos e atividades de segurança para as suas equipas de segurança.
Saiba mais em Priorizar ações de segurança por sensibilidade de dados.
Avaliações expandidas de controlo de segurança com o Azure Security Benchmark v3
As recomendações de segurança no Defender para a Cloud são suportadas pelo Azure Security Benchmark.
Azure Security Benchmark é o conjunto de diretrizes Azure específicas para Microsoft para as melhores práticas de segurança e conformidade, baseadas em quadros comuns de conformidade. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
A partir do Ignite 2021, Azure Security Benchmark v3 está disponível no painel de conformidade regulamentar da Defender para a Cloud e ativado como a nova iniciativa padrão para todas as subscrições Azure protegidas com Microsoft Defender para a Cloud.
Os aprimoramentos para v3 incluem:
Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e CIS Controls v8.
Orientações mais granulares e acionáveis para os controlos, com a introdução de:
- Princípios de Segurança - Fornecer informações sobre os objetivos gerais de segurança que constroem a base para as nossas recomendações.
- Azure Orientação - O "como fazer" técnico para atingir estes objetivos.
Novos controlos incluem a segurança DevOps para questões como modelação de ameaças e segurança da cadeia de abastecimento de software, bem como gestão de chaves e certificados para as melhores práticas no Azure.
Saiba mais em Introdução ao Azure Security Benchmark.
Sincronização opcional de alertas bidirecionais do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
Em julho,
Quando liga o Microsoft Defender para a Cloud ao Microsoft Sentinel, o estado dos alertas de segurança é sincronizado entre os dois serviços. Por exemplo, quando um alerta é encerrado no Defender para a Cloud, esse alerta também aparece como encerrado no Microsoft Sentinel. Alterar o estado de um alerta em Defender para a Cloud não afetará o estado de quaisquer Microsoft Sentinel incidentes que contenham o alerta de Microsoft Sentinel sincronizado, apenas o do próprio alerta sincronizado.
Quando ativas a sincronização de alertas bidirecional sincronizas automaticamente o estado dos alertas originais de Defender para a Cloud com Microsoft Sentinel incidentes que contenham cópias desses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo um alerta do Defender para a Cloud é encerrado, o Defender para a Cloud fecha automaticamente o alerta original correspondente.
Saiba mais em Conecte alertas Azure Defender de Centro de Segurança do Azure e Transmita alertas para Microsoft Sentinel.
Nova recomendação para empurrar Azure Kubernetes Service (AKS) logs para Microsoft Sentinel
Numa melhoria adicional do valor combinado do Defender para a Cloud e do Microsoft Sentinel, vamos agora destacar as instâncias do Azure Kubernetes Service que não estão a enviar dados de registo para o Microsoft Sentinel.
As equipas do SecOps podem escolher o espaço de trabalho relevante do Microsoft Sentinel diretamente a partir da página de detalhes de recomendações e ativar imediatamente o streaming dos registos brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir uma cobertura completa de registro em todas as suas cargas de trabalho para se manterem no topo de todo o ambiente.
A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados" inclui a opção 'Corrigir' para uma correção mais rápida.
Também melhorámos a recomendação "A auditoria no servidor SQL deve estar ativada" com as mesmas capacidades de streaming do Microsoft Sentinel.
Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Melhorámos as recomendações de segurança do Defender para a Cloud para mostrar a sua posição sobre o MITRE ATT& Estrutura CK®. Esta base de conhecimento globalmente acessível de táticas e técnicas de agentes de ameaças com base em observações do mundo real, fornece mais contexto para ajudá-lo a entender os riscos associados das recomendações para seu ambiente.
Você encontrará estas táticas sempre que acessar informações de recomendação:
Azure Resource Graph resultados da consulta para recomendações relevantes incluem o MITRE ATT& Táticas e técnicas de CK®.As páginas de detalhes das recomendações mostram o mapeamento de todas as recomendações relevantes:
A página de recomendações em Defender para a Cloud tem um novo filtro
para selecionar recomendações de acordo com a tática associada:
Saiba mais em Rever as suas recomendações de segurança.
Gestão de Ameaças e Vulnerabilidades da Microsoft adicionada como solução de avaliação de vulnerabilidades - lançada para disponibilidade geral (GA)
Em outubro, anunciámos uma extensão da integração entre Microsoft Defender para Servidores e Microsoft Defender para Endpoint, para suportar um novo fornecedor de avaliação de vulnerabilidades para as suas máquinas: Microsoft gestão de ameaças e vulnerabilidades. Este recurso agora está liberado para disponibilidade geral (GA).
Use threat and vulnerability management para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com Microsoft Defender para Endpoint ativada, e sem necessidade de agentes adicionais ou análises periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigue fraquezas na gestão de ameaças e vulnerabilidades da Microsoft Defender para Endpoint.
Microsoft Defender para Endpoint for Linux agora suportado pelo Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
Em agosto, anunciámos suporte de pré-visualização para a implementação do sensor Defender para Endpoint para Linux em máquinas Linux suportadas. Este recurso agora está liberado para disponibilidade geral (GA).
Microsoft Defender para Servidores inclui uma licença integrada para Microsoft Defender para Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, dispara um alerta. O alerta é mostrado no Defender para a Cloud. A partir do Defender para a Cloud, também pode mudar para a consola Defender for Endpoint e realizar uma investigação detalhada para descobrir a dimensão do ataque.
Saiba mais em Proteja os seus endpoints com a solução integrada EDR do Security Center: Microsoft Defender para Endpoint.
Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
O Defender para a Cloud gera alertas e recomendações de segurança detalhadas. Pode visualizá-los no portal ou através de ferramentas programáticas. Também pode ser necessário exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
Defender para a Cloud A funcionalidade exportação contínua permite personalizar totalmente o que será exportado, e onde irá ir. Saiba mais em Exportar continuamente Microsoft Defender para a Cloud dados.
Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados a dados seguros de pontuação e conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.
Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
Em outubro, anunciámos a adição de soluções de avaliação de vulnerabilidades à página de autoprovisionamento da Defender para a Cloud. Isto é relevante para Azure máquinas virtuais e Azure Arc máquinas em subscrições protegidas por Azure Defender para Servidores. Este recurso agora está liberado para disponibilidade geral (GA).
Se a integração com Microsoft Defender para Endpoint estiver ativada, Defender para a Cloud apresenta uma escolha de soluções de avaliação de vulnerabilidades:
- (NOVO) O módulo Microsoft de gestão de ameaças e vulnerabilidades do Microsoft Defender para Endpoint (ver a nota de lançamento)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar máquinas que executam software específico - e até mesmo especificar as versões de interesse. Este recurso agora está liberado para disponibilidade geral (GA).
Pode consultar os dados do inventário do software em Azure Resource Graph Explorer.
Para usar estas funcionalidades, terá de ativar a integração com Microsoft Defender para Endpoint.
Para detalhes completos, incluindo exemplos de consultas Kusto para Azure Resource Graph, veja Access a software inventary.
Nova política de segurança AKS adicionada à iniciativa padrão
Para garantir que as cargas de trabalho do Kubernetes são seguras por defeito, o Defender para a Cloud inclui políticas ao nível do Kubernetes e recomendações de reforço, incluindo opções de aplicação com controlo de admissão do Kubernetes.
Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para limitar a implantação em clusters Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a visualização relacionada.
Você pode ignorar com segurança as políticas e recomendações ("Os clusters Kubernetes devem impedir a implantação de imagens vulneráveis") e não haverá impacto no seu ambiente.
Se quiser participar na pré-visualização, terá de ser membro do anel de pré-visualização. Se você ainda não é membro, envie uma solicitação aqui. Os membros serão notificados quando a pré-visualização começar.
A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
Para melhorar a apresentação de recursos no inventário de ativos, removemos o elemento "source-computer-IP" do modelo para nomear máquinas locais.
-
Formato anterior:
machine-name_source-computer-id_VMUUID -
A partir desta atualização:
machine-name_VMUUID
Outubro de 2021
As atualizações em outubro incluem:
- Microsoft Gestão de Ameaças e Vulnerabilidades adicionada como solução de avaliação de vulnerabilidades (em pré-visualização)
- As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
- Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
- Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
- Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
- As páginas de detalhes das recomendações agora mostram recomendações relacionadas
- Novos alertas para Azure Defender para Kubernetes (em pré-visualização)
Gestão de Ameaças e Vulnerabilidades da Microsoft adicionada como solução de avaliação de vulnerabilidades (em pré-visualização)
Alargámos a integração entre Azure Defender para servidores e Microsoft Defender para Endpoint, para suportar um novo fornecedor de avaliação de vulnerabilidades para as suas máquinas: Microsoft gestão de ameaças e vulnerabilidades.
Use threat and vulnerability management para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com Microsoft Defender para Endpoint ativada, e sem necessidade de agentes adicionais ou análises periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigue fraquezas na gestão de ameaças e vulnerabilidades da Microsoft Defender para Endpoint.
As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
A página de autoprovisionamento do Security Center inclui agora a opção de ativar automaticamente uma solução de avaliação de vulnerabilidades para Azure máquinas virtuais e Azure Arc máquinas em subscrições protegidas por Azure Defender para Servidores.
Se a integração com Microsoft Defender para Endpoint estiver ativada, Defender para a Cloud apresenta uma escolha de soluções de avaliação de vulnerabilidades:
- (NOVO) O módulo Microsoft de gestão de ameaças e vulnerabilidades do Microsoft Defender para Endpoint (ver a nota de lançamento)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
A página de inventário de ativos agora inclui um filtro para selecionar máquinas que executam software específico - e até mesmo especificar as versões de interesse.
Além disso, pode consultar os dados do inventário do software no Azure Resource Graph Explorer.
Para usar estas novas funcionalidades, terá de ativar a integração com Microsoft Defender para Endpoint.
Para detalhes completos, incluindo exemplos de consultas Kusto para Azure Resource Graph, veja Access a software inventary.
Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
Em julho de 2021, anunciámos uma reorganização lógica do Azure Defender para alertas Resource Manager
Durante a reorganização dos planos Defender, mudámos os alertas de Azure Defender para Resource Manager para Azure Defender para Servidores.
Com esta atualização, alteramos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na tabela a seguir:
| Nome original | A partir desta mudança |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Saiba mais sobre os planos Azure Defender para Resource Manager e Azure Defender para Servidores.
Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
A recomendação "Os clusters Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nesta recomendação foram removidos: ConfigMap e Secret.
Saiba mais sobre esta recomendação e sobre o reforço dos seus clusters Kubernetes em Compreenda Azure Policy para clusters Kubernetes.
As páginas de detalhes das recomendações agora mostram recomendações relacionadas
Para esclarecer as relações entre as diferentes recomendações, adicionámos uma área de recomendações relacionadas às páginas de detalhes de muitas recomendações.
Os três tipos de relacionamento mostrados nestas páginas são:
- Pré-requisito - Uma recomendação que deve ser concluída antes da recomendação selecionada
- Alternativa - Uma recomendação diferente que fornece outra maneira de alcançar os objetivos da recomendação selecionada
- Dependente - Uma recomendação para a qual a recomendação selecionada é um pré-requisito
Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".
Tip
Se uma recomendação relacionada estiver acinzentada, sua dependência ainda não foi concluída e, portanto, não está disponível.
Um exemplo de recomendações relacionadas:
A Central de Segurança verifica suas máquinas em busca de soluções de avaliação de vulnerabilidades suportadas:
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuaisSe uma for encontrada, você será notificado sobre vulnerabilidades descobertas:
As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Obviamente, a Central de Segurança não pode notificá-lo sobre vulnerabilidades descobertas, a menos que encontre uma solução de avaliação de vulnerabilidade compatível.
Therefore:
- A recomendação #1 é um pré-requisito para a recomendação #2
- A recomendação #2 depende da recomendação #1
Novos alertas para Azure Defender para Kubernetes (em pré-visualização)
Para expandir as proteções contra ameaças fornecidas pela Azure Defender para o Kubernetes, adicionámos dois alertas de pré-visualização.
Estes alertas são gerados com base num novo modelo de aprendizagem automática e análises avançadas do Kubernetes, medindo múltiplos atributos de implementação e atribuição de funções em relação a atividades anteriores no cluster e em todos os clusters monitorizados por Azure Defender.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Implantação anômala de pods (Visualização) (K8S_AnomalousPodDeployment) |
A análise do registo de auditoria Kubernetes detetou uma implantação anómala do pod com base na atividade de implementação anterior. Esta atividade é considerada anómala ao examinar como as diferentes características da operação de implantação se relacionam entre si. As funcionalidades monitorizadas incluem o registo de imagens do contentor utilizado, a conta de implementação, o dia da semana, a frequência de implementação desta conta, o agente utilizador utilizado, os padrões de implementação do namespace e outras características. As propriedades alargadas do alerta detalham as principais razões que contribuem para identificar esta atividade como anómala. | Execution | Medium |
|
Permissões de função excessivas atribuídas no cluster do Kubernetes (Visualização) (K8S_ServiceAcountPermissionAnomaly) |
A análise dos logs de auditoria do Kubernetes detetou uma atribuição excessiva de função de permissões ao cluster. Ao examinar atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Esta deteção considera atribuições anteriores de funções à mesma conta de serviço entre clusters monitorizados pelo Azure, volume por permissão e o impacto da permissão específica. O modelo de deteção de anomalias utilizado para este alerta tem em conta como esta permissão é utilizada em todos os clusters monitorizados por Azure Defender. | Escalonamento de privilégios | Low |
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
Setembro de 2021
Em setembro, a seguinte atualização foi lançada:
Duas novas recomendações para auditar configurações do sistema operativo para conformidade com a linha de segurança do Azure (em pré-visualização)
As seguintes duas recomendações foram divulgadas para avaliar a conformidade das suas máquinas com a linha base de segurança Windows e a linha base de segurança Linux:
- Para Windows máquinas, Vulnerabilidades na configuração de segurança nas suas máquinas Windows devem ser corrigidas (alimentadas por Configuração de Convidados)
- Para máquinas Linux, as vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentadas pela Configuração de convidado)
Estas recomendações utilizam a funcionalidade de configuração convidada do Azure Policy para comparar a configuração do sistema operativo de uma máquina com a linha de base definida no Azure Security Benchmark.
Saiba mais sobre como usar essas recomendações na configuração do sistema operacional de uma máquina usando a configuração de convidado.
Agosto de 2021
As atualizações em agosto incluem:
- Microsoft Defender para Endpoint para Linux agora suportado pela Azure Defender for Servers (em pré-visualização)
- Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
- Solução de problemas integrada e orientação para resolver problemas comuns
- Painel de conformidade regulamentar Azure Relatórios de auditoria divulgados para disponibilidade geral (GA)
- Recomendação descontinuada 'Log Analytics problemas de saúde do agente devem ser resolvidos nas suas máquinas'
- Azure Defender para registos de contentores agora analisa vulnerabilidades em registos protegidos com Azure Private Link
Centro de Segurança pode agora autoprovisionar a extensão de Configuração de Convidados do Azure Policy (em pré-visualização) - As recomendações agora suportam "Enforce".
- Exportações CSV de dados de recomendação agora limitadas a 20 MB
- A página de recomendações agora inclui várias visualizações
Microsoft Defender para Endpoint para Linux agora suportado pela Azure Defender para Servidores (em pré-visualização)
Azure Defender para Servidores inclui uma licença integrada para Microsoft Defender para Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, dispara um alerta. O alerta é apresentado no Centro de Segurança. A partir do Centro de Segurança, pode também mudar para a consola Defender for Endpoint e realizar uma investigação detalhada para descobrir a dimensão do ataque.
Durante o período de pré-visualização, irá implementar o sensor Defender para Endpoint for Linux em máquinas Linux suportadas de duas formas, dependendo se já o implementou nas suas Windows máquinas:
- Utilizadores existentes com as funcionalidades de segurança melhoradas do Defender para a Cloud ativadas e Microsoft Defender para Endpoint para Windows
- Novos utilizadores que nunca ativaram a integração com o Microsoft Defender para Endpoint para Windows
Saiba mais em Proteja os seus endpoints com a solução integrada EDR do Security Center: Microsoft Defender para Endpoint.
Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
Adicionámos duas recomendações de pré-visualização para implementar e manter as soluções de proteção de terminais nas suas máquinas. Ambas as recomendações incluem suporte para máquinas virtuais Azure e máquinas ligadas a servidores com Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada.
Saiba mais sobre como o Endpoint Protection para máquinas é avaliado. (Política relacionada: Monitorizar a falta de Proteção de Endpoint em Centro de Segurança do Azure) |
High |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de endpoints suportadas estão documentadas aqui. A avaliação da proteção de pontos finais está documentada aqui. (Política relacionada: Monitorizar a falta de Proteção de Endpoint em Centro de Segurança do Azure) |
Medium |
Note
As recomendações mostram seu intervalo de frescor como 8 horas, mas há alguns cenários em que isso pode levar significativamente mais tempo. Por exemplo, quando uma máquina local é excluída, leva 24 horas para a Central de Segurança identificar a exclusão. Depois disso, a avaliação levará até 8 horas para devolver as informações. Nessa situação específica, portanto, pode levar 32 horas para que a máquina seja removida da lista de recursos afetados.
Solução de problemas integrada e orientação para resolver problemas comuns
Uma nova área dedicada nas páginas do Centro de Segurança no portal Azure fornece um conjunto compilado e em constante crescimento de materiais de autoajuda para resolver desafios comuns com o Centro de Segurança e a Azure Defender.
Quando você está enfrentando um problema, ou está procurando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudá-lo a encontrar a solução:
Relatórios de Auditoria Azure do painel de conformidade regulatória divulgados para disponibilidade geral (GA)
A barra de ferramentas do painel de conformidade regulamentar oferece relatórios de certificação Azure e Dynamics para os padrões aplicados às suas subscrições.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Para obter mais informações, consulte Gerar relatórios e certificados de status de conformidade.
Recomendação obsoleta 'Os problemas de saúde dos agentes Log Analytics devem ser resolvidos nas suas máquinas'
Verificámos que as questões de saúde do agente Log Analytics devem ser resolvidas nas suas máquinas afeta as pontuações seguras de formas inconsistentes com o foco Cloud Security Posture Management (CSPM) do Security Center. Normalmente, o CSPM está relacionado à identificação de configurações incorretas de segurança. Os problemas de saúde do agente não se encaixam nessa categoria de problemas.
Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados com o Centro de Segurança: este é o único agente com uma recomendação relacionada com questões de saúde.
A recomendação foi preterida.
Como resultado desta descontinuação, também fizemos pequenas alterações às recomendações para instalar o agente Log Analytics (Log Analytics agente deve ser instalado em... ).
É provável que essa alteração afete suas pontuações seguras. Para a maioria das assinaturas, esperamos que a alteração leve a um aumento da pontuação, mas é possível que as atualizações da recomendação de instalação resultem em pontuações reduzidas em alguns casos.
Tip
A página de inventário de ativos também foi afetada por essa alteração, pois exibe o status monitorado para máquinas (monitoradas, não monitoradas ou parcialmente monitoradas - um estado que se refere a um agente com problemas de integridade).
Azure Defender para registos de contentores agora analisa vulnerabilidades em registos protegidos com Azure Private Link
Azure Defender para registos de contentores inclui um scanner de vulnerabilidades para digitalizar imagens nos seus registos de Azure Container Registry. Aprenda a analisar os seus registos e a remediar os resultados em Utilize Azure Defender para registos de contentores para analisar as suas imagens em busca de vulnerabilidades.
Para limitar o acesso a um registo alojado em Azure Container Registry, atribua endereços IP privados de rede virtual aos endpoints do registo e use Azure Private Link conforme explicado em Conecte privadamente a um Azure container registry usando Azure Private Link.
Como parte dos nossos esforços contínuos para apoiar ambientes e casos de uso adicionais, Azure Defender agora também digitaliza registos de contentores protegidos com Azure Private Link.
O Security Center pode agora autoprovisionar a extensão Guest Configuration do Azure Policy (em pré-visualização)
O Azure Policy pode auditar definições dentro de uma máquina, tanto para máquinas a correr no Azure como para máquinas ligadas ao Arc. A validação é executada pela extensão da Configuração de Convidado e pelo cliente. Saiba mais em Compreender a Configuração de Convidados da Azure Policy.
Com esta atualização, pode agora definir o Centro de Segurança para aprovisionar automaticamente esta extensão para todos os computadores suportados.
Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.
As recomendações agora suportam "Enforce"
A Central de Segurança inclui dois recursos que ajudam a garantir que os recursos recém-criados sejam provisionados de forma segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:
- Negar impede que recursos não íntegros sejam criados
- Impor corrige automaticamente recursos não compatíveis quando eles são criados
Com esta atualização, a opção de impor está agora disponível nas recomendações para ativar planos de Azure Defender (como Azure Defender para App Service devem estar ativados, Azure Defender para Key Vault devem estar ativados Azure Defender para Armazenamento deve estar ativado).
Saiba mais sobre essas opções em Evitar configurações incorretas com recomendações de Impor/Negar.
Exportações CSV de dados de recomendação agora limitadas a 20 MB
Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.
Se você precisar exportar quantidades maiores de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.
Saiba mais sobre como realizar uma exportação CSV de suas recomendações de segurança.
A página de recomendações agora inclui várias visualizações
A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:
- Recomendações de pontuação segura - Use esta guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
- Todas as recomendações - Use esta guia para exibir a lista de recomendações como uma lista simples. Essa guia também é ótima para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com recomendações em O que são políticas, iniciativas e recomendações de segurança?.
Julho de 2021
As atualizações em julho incluem:
- O conector Microsoft Sentinel inclui agora sincronização opcional de alertas bidirecionais (em pré-visualização)
- Reorganização lógica de Azure Defender para alertas Resource Manager
- Melhorias à recomendação para permitir Azure Disk Encryption (ADE)
- Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
- Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
- Modelo de caderno de exercícios 'Compliance ao longo do tempo' adicionado à galeria Azure Monitor de cadernos
O conector Microsoft Sentinel inclui agora sincronização opcional de alertas bidirecionais (em pré-visualização)
O Security Center integra-se nativamente com Microsoft Sentinel, a solução SIEM e SOAR nativa da cloud da Azure.
O Microsoft Sentinel inclui conectores integrados para o Centro de Segurança do Azure ao nível de subscrição e tenente. Saiba mais em Transmitir alertas para Microsoft Sentinel.
Quando se liga Azure Defender ao Microsoft Sentinel, o estado dos alertas Azure Defender que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é encerrado em Azure Defender, esse alerta também será apresentado como fechado em Microsoft Sentinel. Alterar o estado de um alerta em Azure Defender "não vai"* afetar o estado de quaisquer Microsoft Sentinel incidentes que contenham o alerta de Microsoft Sentinel sincronizado, apenas o do próprio alerta sincronizado.
Quando ativas a funcionalidade de pré-visualização
Saiba mais em Connect Azure Defender alertas de Centro de Segurança do Azure.
Reorganização lógica de alertas de Azure Defender para Resource Manager
Os alertas listados abaixo foram fornecidos como parte do plano Azure Defender para Resource Manager.
Como parte de uma reorganização lógica de alguns dos planos Azure Defender, mudámos alguns alertas de Azure Defender para Resource Manager para Azure Defender para Servidores.
Os alertas estão organizados de acordo com dois princípios principais:
- Alertas que fornecem proteção no plano de controlo – em muitos Azure tipos de recursos – fazem parte de Azure Defender para Resource Manager
- Alertas que protegem cargas de trabalho específicas estão no plano de Azure Defender relacionado com a carga de trabalho correspondente
Estes são os alertas que faziam parte de Azure Defender durante Resource Manager e que, como resultado desta mudança, agora fazem parte do Azure Defender para Servidores:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Saiba mais sobre os planos Azure Defender para Resource Manager e Azure Defender para Servidores.
Melhorias na recomendação para ativar o Azure Disk Encryption (ADE)
Após os comentários dos usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.
A nova recomendação usa a mesma ID de avaliação e é chamada de Máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento.
A descrição também foi atualizada para explicar melhor o objetivo desta recomendação de endurecimento:
| Recommendation | Description | Severity |
|---|---|---|
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; Os discos temporários e os caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Para mais informações, consulte a comparação de diferentes tecnologias de encriptação de disco em Azure. Use o Azure Disk Encryption para encriptar todos estes dados. Desconsidere esta recomendação se: (1) estiver a usar a funcionalidade de encriptação no host, ou (2) a encriptação do lado do servidor nos Managed Disks cumprir os seus requisitos de segurança. Saiba mais sobre encriptação do lado do servidor do Armazenamento de Discos do Azure. |
High |
Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para rastreamento com outras ferramentas de monitoramento em seu ambiente.
Ao configurar sua exportação contínua, você configura o que é exportado e para onde ele irá. Saiba mais na visão geral da exportação contínua.
Aprimoramos e expandimos esse recurso ao longo do tempo:
Em novembro de 2020, adicionámos a opção de pré-visualização para transmitir as alterações à sua pontuação segura.
Em dezembro de 2020, adicionámos a opção de pré-visualização para transmitir alterações aos seus dados de avaliação de conformidade regulamentar.
Com esta atualização, essas duas opções são liberadas para disponibilidade geral (GA).
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
Em fevereiro de 2021, adicionamos um terceiro tipo de dados de visualização às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulamentar. Saiba mais em As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulamentar.
Com esta atualização, essa opção de gatilho é liberada para disponibilidade geral (GA).
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, consulte API de avaliações expandida com dois novos campos.
Esses campos eram acessíveis através da API REST, Azure Resource Graph, exportação contínua e exportações CSV.
Com esta alteração, estamos a disponibilizar a informação no esquema do espaço de trabalho Log Analytics e nas aplicações Logic.
Modelo de livro de exercícios 'Compliance ao longo do tempo' adicionado à galeria de Livros de Exercícios do Azure Monitor
Em março, anunciámos a experiência integrada Azure Monitor Workbooks no Security Center (ver Azure Monitor Workbooks integrados no Security Center e três modelos fornecidos).
A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.
Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
Junho de 2021
As atualizações em junho incluem:
- Novo alerta para Azure Defender para Key Vault
- Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
- Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
- Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
Novo alerta para Azure Defender para Key Vault
Para expandir as proteções de ameaça fornecidas pela Azure Defender para Key Vault, adicionámos o seguinte alerta:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
| Acesso a partir de um endereço IP suspeito a um cofre de chaves (KV_SuspiciousIPAccess) |
Um cofre de chaves foi acedido com sucesso por um IP identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. | Acesso a credenciais | Medium |
Para obter mais informações, consulte:
- Introdução à Azure Defender para Key Vault
- Responder a Azure Defender para alertas de Key Vault
- Lista de alertas fornecidos pela Azure Defender para Key Vault
Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
A Central de Segurança inclui várias recomendações para criptografar dados em repouso com chaves gerenciadas pelo cliente, como:
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As contas Azure Cosmos DB devem usar chaves geridas pelo cliente para encriptar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser encriptados com uma chave gerida pelo cliente (CMK)
Os dados no Azure são encriptados automaticamente usando chaves geridas pela plataforma, pelo que o uso de chaves geridas pelo cliente só deve ser aplicado quando necessário para cumprir uma política específica que a sua organização escolhe aplicar.
Com essa alteração, as recomendações para usar CMKs agora são desabilitadas por padrão. Quando relevantes para sua organização, você pode habilitá-los alterando o parâmetro Effect da diretiva de segurança correspondente para AuditIfNotExists ou Enforce. Saiba mais em Ativar uma recomendação de segurança.
Essa alteração é refletida nos nomes da recomendação com um novo prefixo, [Habilitar se necessário], conforme mostrado nos exemplos a seguir:
- [Ativar, se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados em repouso
- [Ativar, se necessário] Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- [Ativar se necessário] As contas Azure Cosmos DB devem usar chaves geridas pelo cliente para encriptar dados em repouso
Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
Azure Defender para Kubernetes expandiu-se recentemente para proteger clusters Kubernetes alojados localmente e em ambientes multicloud. Saiba mais em Use Azure Defender para Kubernetes para proteger implementações Kubernetes híbridas e multicloud (em pré-visualização).
Para refletir o facto de os alertas de segurança fornecidos pela Azure Defender para Kubernetes já não estarem restritos a clusters em Azure Kubernetes Service, alterámos o prefixo dos tipos de alerta de "AKS_" para "K8S_". Quando necessário, os nomes e descrições também foram atualizados. Por exemplo, este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (AKS_PenTestToolsKubeHunter) |
A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Alterado para este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (K8S_PenTestToolsKubeHunter) |
A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Todas as regras de supressão que se referem a alertas que iniciam "AKS_" foram convertidas automaticamente. Se você configurou exportações SIEM ou scripts de automação personalizados que se referem a alertas do Kubernetes por tipo de alerta, será necessário atualizá-los com os novos tipos de alerta.
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
As duas recomendações seguintes foram preteridas:
- deve ser atualizada para os seus papéis de serviço na cloud - Por defeito, Azure atualiza periodicamente o seu sistema operativo convidado para a imagem mais recente suportada dentro da família de sistemas operativos que especificou na configuração do seu serviço (.cscfg), como Windows Server 2016.
- Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes - As avaliações desta recomendação não são tão abrangentes quanto gostaríamos que fossem. Planeamos substituir a recomendação por uma versão melhorada mais alinhada com as suas necessidades de segurança.
Maio de 2021
As atualizações em maio incluem:
- Azure Defender para DNS e Azure Defender para Resource Manager lançados para disponibilidade geral (GA)
- Azure Defender para bases de dados relacionais de código aberto lançadas para disponibilidade geral (GA)
- Novos alertas para Azure Defender para Resource Manager
- CI/CD digitalização de vulnerabilidades de imagens de contentores com fluxos de trabalho e Azure Defender GitHub (pré-visualização)
- Mais consultas do Resource Graph disponíveis para algumas recomendações
- Severidade da recomendação de classificação de dados SQL alterada
- Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
- Novas recomendações para proteger clusters do Kubernetes (em visualização)
- API de avaliações expandida com dois novos campos
- O inventário de ativos obtém um filtro de ambiente de nuvem
Azure Defender para DNS e Azure Defender para Resource Manager lançado para disponibilidade geral (GA)
Esses dois planos de proteção contra ameaças de amplitude nativa da nuvem agora são GA.
Estas novas proteções aumentam significativamente a sua resiliência contra ataques de agentes ameaçadores e aumentam significativamente o número de recursos Azure protegidos por Azure Defender.
Azure Defender para Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender para DNS - monitoriza continuamente todas as consultas DNS dos seus recursos Azure. Para obter mais informações, consulte:
Para simplificar o processo de habilitação desses planos, use as recomendações:
- Azure Defender para Resource Manager deve estar ativado
- Azure Defender para DNS deve estar ativado
Note
Ativar planos Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Azure Defender para bases de dados relacionais de código aberto lançadas para disponibilidade geral (GA)
O Centro de Segurança do Azure expande a sua oferta de proteção SQL com um novo pacote para cobrir as suas bases de dados relacionais open-source:
- Azure Defender para SQL do Azure servidores de base de dados - defende os seus servidores SQL nativos Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e on-premises
- Azure Defender para bases de dados relacionais open-source - defende a sua Azure Bases de Dados para servidores individuais MySQL, PostgreSQL e MariaDB
Azure Defender para bases de dados relacionais open-source monitoriza constantemente os seus servidores para ameaças de segurança e deteta atividades anómalas de bases de dados que indicam potenciais ameaças à Base de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:
- Deteção granular de ataques de força bruta - Azure Defender para bases de dados relacionais de código aberto fornece informações detalhadas sobre ataques de força bruta tentados e bem-sucedidos. Isso permite que você investigue e responda com uma compreensão mais completa da natureza e do status do ataque ao seu ambiente.
- Deteção de alertas comportamentais - Azure Defender para bases de dados relacionais open-source alerta-o para comportamentos suspeitos e inesperados nos seus servidores, como alterações no padrão de acesso à sua base de dados.
- Deteção baseada em inteligência de ameaças - Azure Defender aplica a inteligência de ameaças da Microsoft e a vasta base de conhecimento para alertas de ameaça à superfície para que possa agir contra eles.
Saiba mais em Introdução à Azure Defender para bases de dados relacionais de código aberto.
Novos alertas para Azure Defender para Resource Manager
Para expandir as proteções contra ameaças fornecidas pela Azure Defender para Resource Manager, adicionámos os seguintes alertas:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Severity |
|---|---|---|---|
|
Permissões concedidas para um cargo RBAC de forma invulgar para o seu ambiente de Azure (Pré-visualização) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender por Resource Manager detetou uma atribuição de função RBAC que é invulgar quando comparada com outras atribuições realizadas pelo mesmo assignador / realizadas para o mesmo cessionário / no seu tenant devido às seguintes anomalias: tempo de atribuição, localização do assignador, assignador, método de autenticação, entidades atribuídas, software cliente utilizado, extensão da atribuição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando conceder permissões a uma conta de usuário adicional de sua propriedade. | Movimento Lateral, Evasão de Defesa | Medium |
|
Função personalizada privilegiada criada para a sua subscrição de forma suspeita (Pré-visualização) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender por Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada na sua subscrição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando criar uma função privilegiada para usar no futuro para evitar a deteção. | Movimento Lateral, Evasão de Defesa | Low |
|
Azure Resource Manager operação a partir de endereço IP suspeito (Pré-visualização) (ARM_OperationFromSuspiciousIP) |
Azure Defender por Resource Manager detetou uma operação a partir de um endereço IP que foi marcado como suspeito nos feeds de inteligência de ameaças. | Execution | Medium |
|
Azure Resource Manager operação a partir de um endereço IP proxy suspeito (Pré-visualização) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender para Resource Manager detetou uma operação de gestão de recursos a partir de um endereço IP associado a serviços proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Evasão de Defesa | Medium |
Para obter mais informações, consulte:
- Introdução à Azure Defender para Resource Manager
- Responder a Azure Defender para alertas de Resource Manager
- Lista de alertas fornecidos pela Azure Defender para Resource Manager
Varredura de vulnerabilidades CI/CD de imagens de contentores com fluxos de GitHub e Azure Defender (pré-visualização)
Azure Defender para registos de contentores agora proporciona observabilidade às equipas DevSecOps nos fluxos de trabalho GitHub Actions.
O novo recurso de verificação de vulnerabilidades para imagens de contêiner, utilizando o Trivy, ajuda você a verificar vulnerabilidades comuns em suas imagens de contêiner antes de enviar imagens para registros de contêiner.
Os relatórios de análise de contentores são resumidos no Centro de Segurança do Azure, proporcionando às equipas de segurança melhor perceção e compreensão sobre a origem das imagens vulneráveis dos contentores e os fluxos de trabalho e repositórios de onde se originam.
Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho de CI/CD.
Mais consultas do Resource Graph disponíveis para algumas recomendações
Todas as recomendações do Security Center têm a opção de visualizar a informação sobre o estado dos recursos afetados usando Azure Resource Graph da consulta Open. Para detalhes completos sobre esta funcionalidade poderosa, consulte Review dados de recomendação no Azure Resource Graph Explorer.
A Central de Segurança inclui varreduras de vulnerabilidade internas para verificar suas VMs, servidores SQL e seus hosts e registros de contêiner em busca de vulnerabilidades de segurança. As descobertas são retornadas como recomendações com todas as descobertas individuais para cada tipo de recurso reunidas em uma única exibição. As recomendações são as seguintes:
- Vulnerabilidades nas imagens do Azure Container Registry devem ser corrigidas (alimentadas pelo Qualys)
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas
Com essa alteração, você pode usar o botão Abrir consulta para também abrir a consulta mostrando as descobertas de segurança.
O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.
Saiba mais sobre os scanners de vulnerabilidade da Central de Segurança:
- Azure Defender scanner integrado de vulnerabilidades Qualys para máquinas Azure e híbridas
- Azure Defender scanner integrado de avaliação de vulnerabilidades para servidores SQL
- Scanner integrado de avaliação de vulnerabilidades da Azure Defender para registos de contentores
Severidade da recomendação de classificação de dados SQL alterada
A severidade da recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados foi alterada de Alta para Baixa.
Isto faz parte de uma alteração contínua a esta recomendação anunciada na nossa próxima página de alterações.
Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
Azure oferece lançamento confiável como uma forma fluida de melhorar a segurança das VMs geração 2. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes. O lançamento confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas. Saiba mais em Trusted launch for Azure virtual machines.
Important
A inicialização confiável requer a criação de novas máquinas virtuais. Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
O lançamento confiável está atualmente em visualização pública. A visualização é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
A recomendação do Centro de Segurança, vTPM deve estar ativado em máquinas virtuais suportadas, garante que as suas VMs Azure usam um vTPM. Esta versão virtualizada de um Trusted Platform Module de hardware permite o atestado medindo toda a cadeia de arranque da sua VM (UEFI, SO, sistema operativo e controladores).
Com o vTPM ativado, a extensão Guest Attestation pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:
- O Secure Boot deve estar ativado em máquinas virtuais Windows suportadas
- A extensão Guest Attestation deve ser instalada em máquinas virtuais Windows suportadas
- A extensão
Guest Attestation deve ser instalada no Windows Conjuntos de Dimensionamento de Máquinas Virtuais - A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Linux suportadas
- A extensão
Guest Attestation deve ser instalada no Linux Conjuntos de Dimensionamento de Máquinas Virtuais
Saiba mais em Trusted launch for Azure virtual machines.
Novas recomendações para proteger clusters do Kubernetes (em visualização)
As recomendações a seguir permitem que você proteja ainda mais seus clusters do Kubernetes
- Os clusters Kubernetes não devem usar o namespace padrão - Para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount, impeça o uso do namespace padrão em clusters Kubernetes.
- Os clusters do Kubernetes devem desabilitar as credenciais da API de montagem automática - Para evitar que um recurso de Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes, desative as credenciais de API de montagem automática.
- Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Saiba como a Central de Segurança pode proteger seus ambientes em contêineres na Segurança de contêineres na Central de Segurança.
API de avaliações expandida com dois novos campos
Adicionamos os dois campos a seguir à API REST de avaliações:
- FirstEvaluationDate – A hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
- StatusChangeDate – A hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.
O valor padrão inicial para esses campos - para todas as recomendações - é 2021-03-14T00:00:00+0000000Z.
Para acessar essas informações, você pode usar qualquer um dos métodos na tabela abaixo.
| Tool | Details |
|---|---|
| Chamada à API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Exportação contínua | Os dois campos dedicados estarão disponíveis nos dados do espaço de trabalho Log Analytics |
| Exportação CSV | Os dois campos estão incluídos nos ficheiros CSV |
Saiba mais sobre a API REST de avaliações.
O inventário de ativos obtém um filtro de ambiente de nuvem
A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Um novo filtro oferece a opção de refinar a lista de acordo com as contas na nuvem que você conectou com o recurso multicloud da Central de Segurança.
Saiba mais sobre os recursos multicloud:
- Liga as tuas contas AWS ao Centro de Segurança do Azure
- Liga os teus projetos GCP ao Centro de Segurança do Azure
Abril de 2021
As atualizações em abril incluem:
- Página de integridade do recurso atualizada (na visualização)
- As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
- Use Azure Defender para Kubernetes para proteger implementações Kubernetes híbridas e multicloud (em pré-visualização)
- A integração Microsoft Defender para Endpoint com Azure Defender agora suporta Windows Server 2019 e Windows 10 no Windows Virtual Desktop lançado para disponibilidade geral (GA)
- Recomendações para ativar Azure Defender para DNS e Resource Manager (em pré-visualização)
- Três normas de conformidade regulamentar adicionadas: Azure CIS 1.3.0, CMMC Nível 3 e ISM Restrito da Nova Zelândia
- Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
- As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
- Eleven Azure Defender alertas obsoletos
- Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
- Azure Defender para SQL no tile da máquina removido do Azure Defender dashboard
- As recomendações foram transferidas entre os controlos de segurança
Página de integridade do recurso atualizada (na visualização)
A integridade do recurso foi expandida, aprimorada e aprimorada para fornecer uma visão instantânea da integridade geral de um único recurso.
Você pode revisar informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se estiver a usar os planos de proteção avançada da Microsoft Defender, pode ver alertas de segurança pendentes para esse recurso específico também.
Para abrir a página de integridade de um recurso, selecione qualquer recurso na página de inventário de ativos.
Esta página de pré-visualização nas páginas do portal do Centro de Segurança mostra:
- Informações sobre recursos - O grupo de recursos e a subscrição a que está ligado, a localização geográfica e muito mais.
- Funcionalidade de segurança aplicada - Se Azure Defender está ativada para o recurso.
- Contagens de recomendações e alertas pendentes - Número de recomendações de segurança pendentes e alertas Azure Defender.
- Recomendações e alertas acionáveis - Duas guias listam as recomendações e alertas que se aplicam ao recurso.
Página de saúde de recursos do 
Saiba mais em Tutorial: Investigue a integridade dos seus recursos.
As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
Azure Defender para registos de contentores inclui um scanner de vulnerabilidades incorporado. Este scanner verifica imediatamente qualquer imagem que você enviar para o seu registro e qualquer imagem puxada nos últimos 30 dias.
Novas vulnerabilidades são descobertas todos os dias. Com esta atualização, as imagens de contentores que foram retiradas dos seus registos durante os últimos 30 dias serão novamente digitalizadas todas as semanas. Isso garante que vulnerabilidades recém-descobertas sejam identificadas em suas imagens.
A digitalização é cobrada por imagem, portanto, não há cobrança adicional para essas novas varreduras.
Saiba mais sobre este scanner em Use Azure Defender para registos de contentores para analisar as suas imagens em busca de vulnerabilidades.
Use Azure Defender para Kubernetes para proteger implementações híbridas e multicloud Kubernetes (em pré-visualização)
Azure Defender for Kubernetes está a expandir as suas capacidades de proteção contra ameaças para defender os seus clusters onde quer que estejam implantados. Isto foi possibilitado pela integração com o Kubernetes habilitado para
Quando ativas Azure Arc nos teus clusters Kubernetes não-Azure, uma nova recomendação da Centro de Segurança do Azure oferece implementar o agente Azure Defender para eles com apenas alguns cliques.
Use a recomendação (Azure Arc os clusters Kubernetes devem ter a extensão da Azure Defender instalada) e a extensão para proteger clusters Kubernetes implementados noutros fornecedores cloud, embora não nos seus serviços Kubernetes geridos.
Esta integração entre o Kubernetes Centro de Segurança do Azure, Azure Defender e Azure Arc permite traz:
- Aprovisionamento fácil do agente Azure Defender para clusters Kubernetes não protegidos com Azure Arc (manualmente e em escala)
- Monitorização do agente de Azure Defender e do seu estado de provisionamento a partir do Portal Azure Arc
- As recomendações de segurança do Centro de Segurança são reportadas na nova página de Segurança do Portal Azure Arc
- As ameaças de segurança identificadas de Azure Defender são reportadas na nova página de Segurança do Portal Azure Arc
- Os clusters Kubernetes com Azure Arc estão integrados na plataforma e experiência do Centro de Segurança do Azure
Saiba mais em Use Azure Defender para Kubernetes com os seus clusters Kubernetes on-premises e multicloud.
Recomendação do 
Microsoft Defender para Endpoint integração com Azure Defender agora suporta Windows Server 2019 e Windows 10 no Windows Virtual Desktop lançado para disponibilidade geral (GA)
O Microsoft Defender para Endpoint é uma solução holística de segurança para endpoints entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para uma lista completa dos benefícios de usar Defender para endpoints juntamente com Centro de Segurança do Azure, consulte Proteja os seus endpoints com a solução integrada EDR do Security Center: Microsoft Defender para Endpoint.
Quando ativas Azure Defender para servidores a correr Windows Server, uma licença para Defender para Endpoint é incluída no plano. Se já ativou Azure Defender para servidores e tiver Windows Server 2019 servidores na sua subscrição, eles receberão automaticamente Defender para o Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir Windows Server 2019 e Windows 10 no Windows Virtual Desktop.
Note
Se estiver a ativar Defender para o Endpoint num servidor Windows Server 2019, certifique-se de que cumpre os pré-requisitos descritos em Ative a integração Microsoft Defender para Endpoint.
Recomendações para ativar Azure Defender para DNS e Resource Manager (em pré-visualização)
Foram adicionadas duas novas recomendações para simplificar o processo de ativação do Azure Defender para Resource Manager e Azure Defender para DNS:
- Azure Defender para Resource Manager deve estar ativado - Defender para Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. Azure Defender deteta ameaças e alerta sobre atividades suspeitas.
- Azure Defender para DNS deve estar ativado - Defender para DNS fornece uma camada adicional de proteção para os seus recursos cloud, monitorizando continuamente todas as consultas DNS a partir dos seus recursos Azure. Azure Defender alerta sobre atividade suspeita na camada DNS.
Ativar planos Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Tip
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a estas recomendações em Remediar as recomendações em Centro de Segurança do Azure.
Adicionados três padrões de conformidade regulatória: Azure CIS 1.3.0, CMMC Nível 3 e New Zealand ISM Restricted
Adicionámos três normas para utilização com o Centro de Segurança do Azure. Usando o painel de conformidade regulamentar, agora você pode acompanhar sua conformidade com:
Você pode atribuí-los às suas assinaturas conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Saiba mais em:
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
- Tutorial: Melhore sua conformidade regulatória
- FAQ – Dashboard de conformidade regulamentar
Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
A extensão Guest Configuration da Azure reporta ao Centro de Segurança para ajudar a garantir que as definições internas das suas máquinas virtuais sejam reforçadas. A extensão não é necessária para servidores preparados para o Arc porque está incluída no agente do Computador Ligado ao Arc. A extensão requer uma identidade gerenciada pelo sistema na máquina.
Adicionámos quatro novas recomendações ao Centro de Segurança para tirar o máximo partido desta extensão.
Duas recomendações solicitam que você instale a extensão e sua identidade gerenciada pelo sistema necessária:
- A extensão Configuração do Convidado deve ser instalada em suas máquinas
- A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema
Quando a extensão estiver instalada e em execução, ela começará a auditar suas máquinas e você será solicitado a fortalecer as configurações, como a configuração do sistema operacional e as configurações do ambiente. Estas duas recomendações vão incentivá-lo a reforçar as suas máquinas Windows e Linux conforme descrito:
- Microsoft Defender Exploit Guard deve estar ativado nas suas máquinas
- A autenticação em máquinas Linux deve exigir chaves SSH
Saiba mais em Compreender a Configuração de Convidados da Azure Policy.
As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
O programa de segurança de cada organização inclui requisitos de criptografia de dados. Por defeito, os dados dos clientes do Azure são encriptados em repouso com chaves geridas pelo serviço. No entanto, as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. Os CMKs permitem-te encriptar os teus dados com uma chave Azure Key Vault criada e que te pertence. Isso lhe dá total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Os controlos de segurança do Centro de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem as suas superfícies vulneráveis de ataque. Cada controle tem um número máximo de pontos que você pode adicionar à sua pontuação segura se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança Implementar práticas recomendadas de segurança vale zero pontos. Portanto, as recomendações nesse controle não afetam sua pontuação segura.
As recomendações listadas abaixo estão sendo movidas para o controle de segurança Implementar práticas recomendadas de segurança para refletir melhor sua natureza opcional. Este movimento garante que essas recomendações estejam no controle mais adequado para atingir seu objetivo.
- As contas Azure Cosmos DB devem usar chaves geridas pelo cliente para encriptar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser encriptados com uma chave gerida pelo cliente (CMK)
- As contas dos Serviços de IA do Azure devem permitir a encriptação de dados com uma chave gerida pelo cliente (CMK)
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
11 Azure Defender alertas descontinuados
Os onze alertas de Azure Defender listados abaixo foram obsoletos.
Novos alertas substituirão estes dois alertas e proporcionarão uma melhor cobertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - A função "Get-AzureDomainInfo" do kit de ferramentas MicroBurst é executada detetada ARM_MicroBurstRunbook PREVIEW - A função "Get-AzurePasswords" do kit de ferramentas MicroBurst é executada detetada Estes nove alertas referem-se a um conector Microsoft Entra Identity Protection (IPC) que já foi obsoleto:
AlertType AlertDisplayName UnfamiliarLocation Propriedades de inícios de sessão desconhecidos AnonymousLogin Endereço IP anónimo InfectedDeviceLogin Endereço IP associado a malware ImpossibleTravel viagem atípica MaliciousIP Endereço IP malicioso LeakedCredentials fuga de credenciais PasswordSpray Spray de senha LeakedCredentials Inteligência de ameaças Microsoft Entra ID AADAI Microsoft Entra ID AI Tip
Esses nove alertas IPC nunca foram alertas da Central de Segurança. Fazem parte do conector de Proteção de Identidade (IPC) da Microsoft Entra que os enviava para o Centro de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O Microsoft Entra ID IPC continuou a apresentá-los nos seus próprios sistemas de alertas e continuaram disponíveis no Microsoft Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.
Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
As duas recomendações a seguir foram preteridas e as alterações podem resultar em um pequeno impacto na sua pontuação segura:
- Suas máquinas devem ser reiniciadas para aplicar atualizações do sistema
- O agente de monitoramento deve ser instalado em suas máquinas. Esta recomendação aplica-se apenas a máquinas locais e parte da sua lógica será transferida para outra recomendação, Log Analytics questões de saúde do agente devem ser resolvidas nas suas máquinas
Recomendamos verificar suas configurações de exportação contínua e automação do fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, quaisquer painéis ou outras ferramentas de monitoramento que possam estar usando-os devem ser atualizados de acordo.
Azure Defender para SQL no tile da máquina removido do Azure Defender dashboard
A área de cobertura do painel de Azure Defender inclui azulejos para os planos de Azure Defender relevantes para o seu ambiente. Devido a um problema no reporte dos números de recursos protegidos e não protegidos, decidimos remover temporariamente o estado de cobertura de recursos para Azure Defender para SQL em máquinas até que o problema seja resolvido.
Recomendações movidas entre controlos de segurança
As recomendações a seguir foram movidas para diferentes controles de segurança. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Este movimento garante que cada uma dessas recomendações esteja no controle mais adequado para atingir seu objetivo.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
| Recommendation | Mudança e impacto |
|---|---|
| A avaliação de vulnerabilidades deve estar ativada nos seus servidores SQL A avaliação de vulnerabilidades deve ser habilitada em suas instâncias gerenciadas pelo SQL As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas novas As vulnerabilidades em seus bancos de dados SQL em VMs devem ser corrigidas |
Passar de Corrigir vulnerabilidades (vale seis pontos) para remediar configurações de segurança (valendo quatro pontos). Dependendo do seu ambiente, essas recomendações terão um impacto reduzido na sua pontuação. |
| Deve haver mais do que um proprietário atribuído à sua subscrição As variáveis de conta de automação devem ser criptografadas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - Falha na validação da linha de base do sistema operacional Dispositivos IoT - Atualização do pacote de codificação TLS necessária Dispositivos IoT - Portas abertas no dispositivo Dispositivos IoT - Política de firewall permissiva em uma das cadeias foi encontrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de entrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de saída Os registos de diagnóstico no Hub IoT devem estar ativados Dispositivos IoT - Agente enviando mensagens subutilizadas Dispositivos IoT - Política de Filtro IP Padrão deve ser Negar Dispositivos IoT - Regra de filtro IP de grande intervalo de IP Dispositivos IoT - Os intervalos e o tamanho das mensagens do agente devem ser ajustados Dispositivos IoT - Credenciais de autenticação idênticas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - A configuração de linha de base do sistema operacional (SO) deve ser corrigida |
Movendo-se para Implementar práticas recomendadas de segurança. Quando uma recomendação passa para o controle de segurança Implementar práticas recomendadas de segurança, que não vale pontos, a recomendação não afeta mais sua pontuação segura. |
Março de 2021
As atualizações em março incluem:
- Azure Firewall gestão integrada no Security Center
- A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
- Azure Monitor Livros de Exercícios integrados no Centro de Segurança e três modelos fornecidos
- O painel de conformidade regulatória inclui agora Azure relatórios de auditoria (pré-visualização)
- Os dados de recomendação podem ser consultados em Azure Resource Graph com "Explorar no ARG"
- Atualizações das políticas de implantação da automação do fluxo de trabalho
Duas recomendações legadas deixam de escrever dados diretamente no registo de atividade - Aprimoramentos da página de recomendações
Gestão Azure Firewall integrada no Security Center
Quando abres o Centro de Segurança do Azure, a primeira página a aparecer é a página de visão geral.
Este painel interativo fornece uma visão unificada da postura de segurança de suas cargas de trabalho de nuvem híbrida. Além disso, mostra alertas de segurança, informações de cobertura e muito mais.
Como parte de ajudar a visualizar o seu estado de segurança a partir de uma experiência centralizada, integrámos o Azure Firewall Manager neste dashboard. Agora pode verificar o estado da cobertura do Firewall em todas as redes e gerir centralmente as políticas do Azure Firewall a partir do Centro de Segurança.
Saiba mais sobre este painel na página de visão geral do Centro de Segurança do Azure.
A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
A Central de Segurança inclui um verificador de vulnerabilidades integrado para ajudá-lo a descobrir, rastrear e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança das máquinas SQL e detalhes de quaisquer descobertas de segurança.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba mais em Desativar descobertas específicas.
Azure Monitor Workbooks integrados no Security Center e três modelos fornecidos
Como parte do Ignite Primavera 2021, anunciámos uma experiência integrada de Azure Monitor Workbooks no Security Center.
Você pode usar a nova integração para começar a usar os modelos prontos para uso na galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, pode criar novos cadernos de exercícios baseados em dados do Security Center ou em quaisquer outros tipos de dados suportados e implementar rapidamente os workbooks comunitários da comunidade do GitHub do Security Center.
São fornecidos três modelos de relatórios:
- Pontuação segura ao longo do tempo - Acompanhe as pontuações das suas subscrições e as alterações às recomendações para os seus recursos
- Atualizações do sistema - Veja as atualizações do sistema ausentes por recursos, sistema operacional, gravidade e muito mais
- Resultados da Avaliação de Vulnerabilidades - Consulte os resultados das análises de vulnerabilidade dos seus recursos de Azure
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
O painel de conformidade regulatória inclui agora relatórios de auditoria do Azure (pré-visualização)
A partir da barra de ferramentas do painel de conformidade regulamentar, pode agora descarregar relatórios de certificação do Azure e Dynamics.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Saiba mais sobre como gerenciar os padrões em seu painel de conformidade regulamentar.
Os dados de recomendação podem ser visualizados no Azure Resource Graph com "Explorar no ARG"
As páginas de detalhes da recomendação agora incluem o botão da barra de ferramentas "Explorar no ARG". Use este botão para abrir uma consulta no Azure Resource Graph e explorar, exportar e partilhar os dados da recomendação.
O Azure Resource Graph (ARG) proporciona acesso instantâneo à informação de recursos nos seus ambientes cloud com capacidades robustas de filtragem, agrupamento e ordenação. É uma forma rápida e eficiente de consultar informação em subscrições do Azure, de forma programática ou a partir do portal Azure.
Saiba mais sobre Azure Resource Graph.
Atualizações das políticas de implantação da automação do fluxo de trabalho
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
Fornecemos três políticas do Azure Policy 'DeployIfNotExist' que criam e configuram procedimentos de automação de fluxos de trabalho para que possa implementar as suas automações por toda a organização:
| Goal | Policy | ID da Política |
|---|---|---|
| Automação do fluxo de trabalho para alertas de segurança | Deploy Workflow Automation for Centro de Segurança do Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Deploy Workflow Automation para Centro de Segurança do Azure recomendações | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automação do fluxo de trabalho para alterações de conformidade regulatória | Deploy Workflow Automation for Centro de Segurança do Azure conformidade regulatória | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Há duas atualizações para os recursos dessas políticas:
- Quando atribuídos, eles permanecerão habilitados pela execução.
- Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros, mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.
Comece a usar modelos automatização de fluxo de trabalho.
Saiba mais sobre como Automatizar respostas a gatilhos da Central de Segurança.
Duas recomendações legadas deixam de escrever dados diretamente no registo de atividade do Azure
O Centro de Segurança passa os dados de quase todas as recomendações de segurança para a Assistente do Azure, que por sua vez os escreve no registo de atividade Azure.
Para duas recomendações, os dados são escritos simultaneamente diretamente no registo de atividade do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, estamos a exportar os dados para o Assistente do Azure, como fazemos para todas as outras recomendações.
As duas recomendações legadas são:
- Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas
- As vulnerabilidades na configuração de segurança nas máquinas virtuais devem ser remediadas
Se você estiver acessando informações para essas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, elas não estarão mais disponíveis.
Aprimoramentos da página de recomendações
Lançamos uma versão melhorada da lista de recomendações para apresentar mais informações rapidamente.
Agora na página você verá:
- A pontuação máxima e a pontuação atual para cada controle de segurança.
- Ícones que substituem tags como Corrigir e Visualizar.
- Uma nova coluna mostrando a iniciativa Política relacionada a cada recomendação - visível quando a opção "Agrupar por controles" está desativada.
Saiba mais em Recomendações de segurança em Centro de Segurança do Azure.
Fevereiro de 2021
As atualizações em fevereiro incluem:
- Nova página de alertas de segurança no portal Azure lançada para disponibilidade geral (GA)
- Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
- A integração do Microsoft Defender para Endpoint com Azure Defender agora suporta Windows Server 2019 e Windows 10 no Windows Virtual Desktop (em pré-visualização)
- Link direto para a política na página de detalhes da recomendação
- A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
- Aprimoramentos da página de inventário de ativos
Nova página de alertas de segurança no portal Azure lançada para disponibilidade geral (GA)
A página de alertas de segurança do Centro de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento.
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK.
- Botão para criar alertas de exemplo - para avaliar as capacidades Azure Defender e testar os seus alertas. configuração (para integração com SIEM, notificações por email e automações de fluxos de trabalho), pode criar alertas de exemplo a partir de todos os planos Azure Defender.
- Alinhamento com a experiência de incidentes da Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles é agora uma experiência mais simples e é fácil aprender um com o outro.
- Melhor desempenho para grandes listas de alertas.
- Navegação pelo teclado através da lista de alertas.
- Alerts from Azure Resource Graph - podes consultar alertas no Azure Resource Graph, a API semelhante ao Kusto, para todos os teus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
- Criar alertas de exemplo - Para criar alertas de amostra a partir da nova experiência de alertas, consulte Gerar alertas de Azure Defender de amostra.
Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
Temos o prazer de anunciar a disponibilidade geral (GA) do conjunto de recomendações para proteções de carga de trabalho do Kubernetes.
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando o Azure Policy for Kubernetes está instalado no seu cluster Azure Kubernetes Service (AKS), cada pedido ao servidor API Kubernetes será monitorizado em relação ao conjunto pré-definido de melhores práticas – apresentado como 13 recomendações de segurança – antes de ser persistido no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Note
Embora as recomendações estivessem em visualização, elas não tornaram um recurso de cluster AKS não íntegro e não foram incluídas nos cálculos da sua pontuação segura. Com este anúncio da AG, estes serão incluídos no cálculo da pontuação. Se você ainda não os corrigiu, isso pode resultar em um pequeno impacto em sua pontuação segura. Remediá-los sempre que possível, conforme descrito nas recomendações Remediar em Centro de Segurança do Azure.
Microsoft Defender para Endpoint integração com Azure Defender agora suporta Windows Server 2019 e Windows 10 no Windows Virtual Desktop (em pré-visualização)
O Microsoft Defender para Endpoint é uma solução holística de segurança para endpoints entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para uma lista completa dos benefícios de usar Defender para endpoints juntamente com Centro de Segurança do Azure, consulte Proteja os seus endpoints com a solução integrada EDR do Security Center: Microsoft Defender para Endpoint.
Quando ativas Azure Defender para servidores a correr Windows Server, uma licença para Defender para Endpoint é incluída no plano. Se já ativou Azure Defender para servidores e tiver Windows Server 2019 servidores na sua subscrição, eles receberão automaticamente Defender para o Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir Windows Server 2019 e Windows 10 no Windows Virtual Desktop.
Note
Se estiver a ativar Defender para o Endpoint num servidor Windows Server 2019, certifique-se de que cumpre os pré-requisitos descritos em Ative a integração Microsoft Defender para Endpoint.
Link direto para a política na página de detalhes da recomendação
Quando você está revisando os detalhes de uma recomendação, geralmente é útil poder ver a política subjacente. Para cada recomendação apoiada por uma política, há um novo link na página de detalhes da recomendação:
Use este link para visualizar a definição da política e rever a lógica de avaliação.
A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
A recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados não afeta mais sua pontuação segura. A classificação de dados de controle de segurança Aplicar que o contém agora tem um valor de pontuação segura de 0.
Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Aprimoramentos da página de inventário de ativos
A página de inventário de ativos do Centro de Segurança foi melhorada:
Os resumos na parte superior da página incluem agora subscrições não registadas, mostrando o número de subscrições sem o Centro de Segurança ativado.
Os filtros foram expandidos e melhorados para incluir:
Contagens - Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria
Contém filtro de isenções (Opcional) - restrinja os resultados aos recursos que têm/não têm isenções. Este filtro não é mostrado por padrão, mas é acessível a partir do botão Adicionar filtro .
Saiba mais sobre como explorar e gerenciar seus recursos com o inventário de ativos.
Janeiro de 2021
As atualizações em janeiro incluem:
- Azure Security Benchmark é agora a iniciativa de política padrão para Centro de Segurança do Azure
- A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
- A classificação de segurança para grupos de gestão já está disponível em pré-visualização
- A API de pontuação segura é liberada para disponibilidade geral (GA)
- Proteções DNS pendentes adicionadas à Azure Defender para App Service
- Conectores multicloud são liberados para disponibilidade geral (GA)
- Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
- Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
- Recomendações de pré-visualização 35 adicionadas para aumentar a cobertura do Azure Security Benchmark
- Exportação CSV da lista de recomendações filtrada
- "Não aplicável" recursos agora reportados como "Cumpridores" nas avaliações Azure Policy
- Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
O Azure Security Benchmark é agora a iniciativa de política padrão para o Centro de Segurança do Azure
O Azure Security Benchmark é o conjunto de diretrizes específicas para Azure, elaboradas pela Microsoft para boas práticas de segurança e conformidade, baseadas em quadros comuns de conformidade. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
Nos últimos meses, a lista de recomendações de segurança incorporadas do Centro de Segurança cresceu significativamente para expandir a nossa cobertura desta referência.
A partir desta versão, o benchmark é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.
Todos os serviços Azure têm uma página de referência de segurança na sua documentação. Estas bases baseiam-se no Azure Security Benchmark.
Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do benchmark durante um período de transição:
O painel de conformidade regulamentar do 
As recomendações existentes não são afetadas e, à medida que o benchmark cresce, as alterações serão refletidas automaticamente na Central de Segurança.
Para saber mais, consulte as seguintes páginas:
- Saiba mais sobre o Azure Security Benchmark
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
Em outubro, anunciámos uma pré-visualização para digitalizar servidores com Azure Arc com o scanner integrado de avaliação de vulnerabilidades Azure Defender para Servidores (alimentado pela Qualys).
Agora está liberado para disponibilidade geral (GA).
Quando ativar o Azure Arc nas suas máquinas que não são Azure, o Centro de Segurança oferecerá implementar o scanner de vulnerabilidades integrado nelas – manualmente e em grande escala.
Com esta atualização, pode libertar o poder do Azure Defender para Servidores para consolidar o seu programa de gestão de vulnerabilidades em todos os seus ativos Azure e não Azure.
Principais capacidades:
- Monitorização do estado de provisionamento do scanner VA (avaliação de vulnerabilidades) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc não protegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para máquinas virtuales Azure e máquinas Azure Arc
Saiba mais sobre servidores com Azure Arc habilitados.
A classificação de segurança para grupos de gestão já está disponível em pré-visualização
A página de pontuação segura agora mostra as pontuações seguras agregadas para seus grupos de gerenciamento, além do nível de assinatura. Portanto, agora você pode ver a lista de grupos de gerenciamento em sua organização e a pontuação para cada grupo de gerenciamento.
Saiba mais sobre a pontuação secure e os controlos de segurança em Centro de Segurança do Azure.
A API de pontuação segura é liberada para disponibilidade geral (GA)
Agora você pode acessar sua pontuação por meio da API de pontuação segura. Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. Por exemplo:
- use a API Secure Scores para obter a pontuação de uma assinatura específica
- use a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas
Saiba mais sobre ferramentas externas possibilitadas com a API de pontuação segura em a área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre a pontuação secure e os controlos de segurança em Centro de Segurança do Azure.
Proteções DNS pendentes adicionadas à Azure Defender para o Serviço de Aplicações
As aquisições de subdomínios são uma ameaça comum e de alta gravidade para as organizações. Uma aquisição de subdomínio pode ocorrer quando você tem um registro DNS que aponta para um site desprovisionado. Esses registos DNS também são conhecidos como entradas "DNS pendentes". Os registos CNAME são especialmente vulneráveis a esta ameaça.
As aquisições de subdomínios permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
Azure Defender para o App Service agora deteta entradas DNS pendentes quando um site de App Service é desativado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe, e seu site está vulnerável a uma aquisição de subdomínio. Estas proteções estão disponíveis quer os seus domínios sejam geridos pelo DNS do Azure ou por um registo de domínio externo e aplicam-se tanto ao App Service no Windows como ao Serviço de Aplicações no Linux.
Saiba mais:
- Tabela de referência de alertas do Serviço de Aplicações - Inclui dois novos alertas de Azure Defender que são ativados quando é detetada uma entrada DNS pendente
- Evite entradas DNS pendentes e evite a tomada de controle de subdomínio - Saiba mais sobre a ameaça de invasão de subdomínio e o aspeto DNS pendente
- Introdução à Azure Defender para Serviços de Aplicações
Conectores multicloud são liberados para disponibilidade geral (GA)
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
O Centro de Segurança do Azure protege cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Ligar os seus projetos AWS ou GCP integra as suas ferramentas nativas de segurança, como AWS Security Hub e GCP Security Command Center, no Centro de Segurança do Azure.
Esse recurso significa que a Central de Segurança oferece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios desta integração:
- Provisão automática de agentes - Security Center utiliza o Azure Arc para implementar o agente Log Analytics nas suas instâncias AWS
- Gestão de políticas
- Gestão de vulnerabilidades
- EDR (Endpoint Detection and Response) incorporado
- Deteção de erros de configuração de segurança
- Uma vista única que mostra as recomendações de segurança de todos os fornecedores de serviços em nuvem
- Incorpore todos os seus recursos nos cálculos de pontuação segura do Centro de Segurança
- Avaliações de conformidade regulatória de seus recursos da AWS e do GCP
No menu da Defender para a Cloud, selecione Multicloud conectores e verá as opções para criar novos conectores:
Saiba mais em:
- Liga as tuas contas AWS ao Centro de Segurança do Azure
- Liga os teus projetos GCP ao Centro de Segurança do Azure
Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
Estamos expandindo a capacidade de isenção para incluir recomendações inteiras. Fornecer mais opções para ajustar as recomendações de segurança que o Centro de Segurança faz para as suas subscrições, grupo de gestão ou recursos.
Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que a Central de Segurança não detetou. Ou uma recomendação será exibida em um escopo onde você sente que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados com o recurso ou recomendação específica.
Com esse recurso de visualização, agora você pode criar uma isenção para uma recomendação para:
Isente um recurso para garantir que ele não seja listado com os recursos não íntegros no futuro e não afete sua pontuação segura. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma subscrição ou um grupo de gestão para garantir que a recomendação não afeta a sua pontuação segura e não será apresentada para a subscrição ou grupo de gestão no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você crie no futuro. A recomendação será marcada com a justificação específica que selecionar para o âmbito selecionado.
Saiba mais em Isentar recursos e recomendações da sua pontuação segura.
Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
Se um usuário não tiver permissões para ver os dados da Central de Segurança, ele verá um link para solicitar permissões ao administrador global de sua organização. O pedido inclui o papel que eles gostariam e a justificativa para que ele seja necessário.
Saiba mais em Solicitar permissões para todo o locatário quando as suas forem insuficientes.
35 recomendações de pré-visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
Azure Security Benchmark é a iniciativa política padrão em Centro de Segurança do Azure.
Para aumentar a cobertura deste benchmark, as 35 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança.
Tip
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a estas recomendações em Remediar as recomendações em Centro de Segurança do Azure.
| Controlo de segurança | Novas recomendações |
|---|---|
| Habilite a criptografia em repouso | - As contas Azure Cosmos DB devem usar chaves geridas pelo cliente para encriptar dados em repouso - Os espaços de trabalho do Azure Machine Learning devem ser encriptados com uma chave gerida pelo cliente (CMK) - Traga sua própria chave de proteção de dados deve ser habilitado para servidores MySQL - Traga sua própria chave de proteção de dados deve ser habilitado para servidores PostgreSQL - As contas dos Serviços de IA do Azure devem permitir a encriptação de dados com uma chave gerida pelo cliente (CMK) - Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente (CMK) - As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia |
| Implementação de melhores práticas de segurança | - As subscrições devem ter um endereço de e-mail de contacto para questões de segurança - O autoprovisionamento do agente Log Analytics deve estar ativado na sua subscrição - A notificação por e-mail para alertas de alta gravidade deve ser ativada - A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser ativada - Os cofres de chaves devem ter a proteção contra purga ativada - Os cofres de chaves devem ter a exclusão suave ativada |
| Gerenciar acesso e permissões | - Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' ativado |
| Proteja os aplicativos contra ataques DDoS | - O Firewall de Aplicações Web (WAF) deve estar ativado para o Application Gateway - Firewall de Aplicações Web (WAF) deve estar ativado para o serviço Azure Front Door Service |
| Restringir o acesso não autorizado à rede | - O firewall deve estar ativado no Key Vault - O endpoint privado deve ser configurado para o Key Vault - Configuração do aplicativo deve usar link privado - Cache do Azure para Redis deve residir numa rede virtual - Os domínios Azure Event Grid devem usar ligação privada - Os tópicos do Azure Event Grid devem usar ligação privada - Os espaços de trabalho do Azure Machine Learning devem usar ligação privada - Azure SignalR Service deve usar private link - Azure Spring Cloud deve usar injeção de rede - Os registos de contentores não devem permitir o acesso irrestrito à rede - Os registos de contentores devem utilizar ligação privada - O acesso à rede pública deve ser desativado para servidores MariaDB - O acesso à rede pública deve ser desativado para servidores MySQL - O acesso à rede pública deve ser desativado para servidores PostgreSQL - Conta de armazenamento deve usar uma conexão de link privado - Contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual - Os modelos do VM Image Builder devem usar link privado |
Ligações úteis:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre Azure Database for MariaDB
- Saiba mais sobre Base de Dados do Azure para MySQL
- Saiba mais sobre Base de Dados do Azure para PostgreSQL
Exportação CSV da lista de recomendações filtrada
Em novembro de 2020, adicionámos filtros à página de recomendações.
Com este anúncio, estamos mudando o comportamento do botão Baixar para CSV para que a exportação CSV inclua apenas as recomendações exibidas atualmente na lista filtrada.
Por exemplo, na imagem abaixo você pode ver que a lista é filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.
Saiba mais em Recomendações de segurança em Centro de Segurança do Azure.
Recursos "Não aplicáveis" agora reportados como "Compatíveis" nas avaliações do Azure Policy
Anteriormente, recursos que eram avaliados para uma recomendação e considerados não aplicável apareciam em Azure Policy como "Não conformes". Nenhuma ação do usuário poderia alterar seu estado para "Conforme". Com essa alteração, eles são relatados como "Compatíveis" para maior clareza.
O único impacto será visto no Azure Policy, onde o número de recursos conformes aumentará. Não haverá impacto na sua pontuação segura no Centro de Segurança do Azure.
Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
Adicionamos um novo recurso de visualização às ferramentas de exportação contínua para exportar instantâneos semanais de pontuação segura e dados de conformidade regulamentar.
Ao definir uma exportação contínua, defina a frequência de exportação:
- Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se não ocorrerem atualizações, nenhum dado será enviado).
- Snapshots – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado todas as semanas (este é um recurso de visualização para instantâneos semanais de pontuações seguras e dados de conformidade regulatória).
Saiba mais sobre todos os recursos desse recurso em Exportar dados da Central de Segurança continuamente.
Dezembro de 2020
As atualizações em dezembro incluem:
- Azure Defender para servidores SQL em máquinas está geralmente disponível
- Azure Defender para suporte SQL para Azure Synapse Analytics pool SQL dedicado está geralmente disponível
- Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
- Dois novos planos Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em pré-visualização)
- Nova página de alertas de segurança no portal Azure (pré-visualização)
Revitalizado Centro de Segurança em Base de Dados SQL do Azure & Experiência SQL Managed Instance - Ferramentas e filtros de inventário de ativos atualizados
- Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
- A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
- A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
Azure Defender para servidores SQL em máquinas está geralmente disponível
Centro de Segurança do Azure oferece dois planos Azure Defender para servidores SQL:
- Azure Defender para SQL do Azure servidores de base de dados - defende os seus servidores SQL nativos Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e on-premises
Com este anúncio, Azure Defender para SQL agora protege as suas bases de dados e os seus dados onde quer que estejam localizados.
Azure Defender para SQL inclui capacidades de avaliação de vulnerabilidades. A ferramenta de avaliação de vulnerabilidades inclui os seguintes recursos avançados:
- Configuração de linha de base (Novo!) para refinar de forma inteligente os resultados das verificações de vulnerabilidades para aqueles que podem representar problemas reais de segurança. Depois de estabelecer o estado de segurança da linha de base, a ferramenta de avaliação de vulnerabilidades reporta apenas desvios desse estado da linha de base. Os resultados que correspondem à linha de base são considerados como passando nas verificações subsequentes. Isso permite que você e seus analistas concentrem sua atenção onde ela é importante.
- Informações detalhadas de benchmark para ajudá-lo a entender as descobertas descobertas e por que elas se relacionam com seus recursos.
- Scripts de correção para ajudá-lo a reduzir os riscos identificados.
Saiba mais sobre Azure Defender para SQL.
Azure Defender para suporte SQL para Azure Synapse Analytics pool SQL dedicado está geralmente disponível
Azure Synapse Analytics (anteriormente SQL DW) é um serviço de análise que combina armazenamento de dados empresariais e análise de big data. Pools SQL dedicados são as funcionalidades de data warehousing empresarial do Azure Synapse. Saiba mais em O que é Azure Synapse Analytics (anteriormente SQL DW)?.
Azure Defender para SQL protege os seus pools SQL dedicados com:
- Proteção avançada contra ameaças para detetar ameaças e ataques
- Recursos de avaliação de vulnerabilidades para identificar e corrigir configurações incorretas de segurança
Azure Defender para o suporte do SQL para Azure Synapse Analytics pools SQL é automaticamente adicionado ao agrupamento SQL do Azure bases de dados em Centro de Segurança do Azure. Há um novo separador Azure Defender para SQL na página do teu espaço de trabalho Synapse no portal Azure.
Saiba mais sobre Azure Defender para SQL.
Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
Um utilizador com o papel Microsoft Entra ID de Administrador Global pode ter responsabilidades a nível de inquilino, mas não ter permissões Azure para visualizar essa informação organizacional em Centro de Segurança do Azure.
Para atribuir a si mesmo permissões de nível de locatário, siga as instruções em Conceder permissões para todo o locatário a si mesmo.
Dois novos planos Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em pré-visualização)
Adicionámos duas novas capacidades de proteção de ameaças de amplitude nativa na cloud para o seu ambiente Azure.
Estas novas proteções aumentam significativamente a sua resiliência contra ataques de agentes ameaçadores e aumentam significativamente o número de recursos Azure protegidos por Azure Defender.
Azure Defender para Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender para DNS - monitoriza continuamente todas as consultas DNS dos seus recursos Azure. Para obter mais informações, consulte:
Nova página de alertas de segurança no portal Azure (pré-visualização)
A página de alertas de segurança do Centro de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK
- Botão para criar alertas de exemplo - para avaliar as capacidades de Azure Defender e testar a configuração dos seus alertas (para integração com SIEM, notificações por email e automações de workflow), pode criar alertas de exemplo a partir de todos os planos Azure Defender
- Alinhamento com a experiência de incidentes da Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles é agora uma experiência mais direta e é fácil aprender um com o outro
- Melhor desempenho para grandes listas de alertas
- Navegação pelo teclado através da lista de alertas
- Alerts from Azure Resource Graph - podes consultar alertas no Azure Resource Graph, a API semelhante ao Kusto, para todos os teus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
Para acessar a nova experiência, use o link 'experimente agora' no banner na parte superior da página de alertas de segurança.
Para criar alertas de amostra a partir da nova experiência de alertas, veja Generate sample Azure Defender alerts.
Experiência revitalizada no Security Center no Base de Dados SQL do Azure & SQL Managed Instance
A experiência do Centro de Segurança dentro do SQL proporciona acesso às seguintes funcionalidades do Centro de Segurança e Azure Defender para SQL:
- Recomendações de Segurança – O Centro de Segurança analisa periodicamente o estado de segurança de todos os recursos de Azure conectados para identificar potenciais desconfigurações de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
- Alertas de segurança – um serviço de deteção que monitoriza continuamente as atividades SQL do Azure para ameaças como injeção SQL, ataques de força bruta e abuso de privilégios. Este serviço ativa alertas de segurança detalhados e orientados para ações no Security Center e oferece opções para investigações contínuas com o Microsoft Sentinel, a solução SIEM nativa do Azure da Microsoft.
- Findings – um serviço de avaliação de vulnerabilidades que monitoriza continuamente SQL do Azure configurações e ajuda a remediar vulnerabilidades. As análises de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure, juntamente com conclusões detalhadas de segurança.
As funcionalidades de segurança do 
Ferramentas e filtros de inventário de ativos atualizados
A página de inventário no Centro de Segurança do Azure foi atualizada com as seguintes alterações:
Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.
Filtro de subscrições adicionado aos filtros predefinidos disponíveis para os seus recursos.
Consulta aberta link para abrir as opções de filtro atuais como uma consulta Azure Resource Graph (anteriormente chamada "Visualizar no explorador de grafos de recursos").
Opções do operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira encontrar todos os recursos com recomendações ativas cujos títulos incluam a cadeia de caracteres 'criptografar'.
Saiba mais sobre inventário em Explore e gerencie seus recursos com inventário de ativos.
Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas" foi movida do controle de segurança Gerenciar acesso e permissões (no valor máximo de 4 pts) para Implementar práticas recomendadas de segurança (que não vale pontos).
Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, isso é irrelevante. Se você acessar seu site por HTTP e não HTTPS, não receberá nenhum certificado de cliente. Portanto, se seu aplicativo requer certificados de cliente, você não deve permitir solicitações para seu aplicativo por HTTP. Saiba mais em Configure autenticação mútua TLS para Serviço de Aplicações do Azure.
Com esta alteração, a recomendação passa a ser uma boa prática recomendada que não afeta a sua pontuação.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
O Centro de Segurança do Azure monitoriza todos os recursos ligados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e padrões relevantes para sua organização, setor e país/região.
À medida que a Central de Segurança continua a expandir sua cobertura e recursos, a lista de recomendações de segurança cresce a cada mês. Por exemplo, veja as recomendações de pré-visualização Twenty nine adicionadas para aumentar a cobertura do Azure Security Benchmark.
Com a lista crescente, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionámos filtros à página de recomendações (ver Lista de recomendações inclui agora filtros).
Os filtros adicionados este mês fornecem opções para refinar a lista de recomendações de acordo com:
Ambiente - Veja recomendações para os seus recursos AWS, GCP ou Azure (ou qualquer combinação)
Severidade - Exibir recomendações de acordo com a classificação de gravidade definida pela Central de Segurança
Ações de resposta - Veja recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor
Tip
O filtro de ações de resposta substitui o filtro Correção rápida disponível (Sim/Não ).
Saiba mais sobre cada uma destas opções de resposta:
A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
As ferramentas de exportação contínua do Centro de Segurança do Azure permitem-lhe exportar as recomendações e alertas do Security Center para utilização com outras ferramentas de monitorização no seu ambiente.
A exportação contínua permite personalizar totalmente o que será exportado e para onde irá. Para obter detalhes completos, consulte Exportar dados continuamente da Central de Segurança.
Estas ferramentas foram melhoradas e expandidas das seguintes formas:
Políticas de implantação da exportação contínua aprimoradas. As políticas atuais:
Verifique se a configuração está ativada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos de Azure Policy fornecidos na secção "Deploy at scale with Azure Policy aba" em Configure uma exportação contínua.
Suporte à exportação de descobertas de segurança. Ao usar os templates do Azure Policy, pode configurar a sua exportação contínua para incluir as descobertas. Isso é relevante ao exportar recomendações que têm "sub" recomendações, como descobertas de scanners de avaliação de vulnerabilidade ou atualizações específicas do sistema para a recomendação "pai" "As atualizações do sistema devem ser instaladas em suas máquinas".
Suporte à exportação de dados de pontuação segura.
Dados de avaliação de conformidade regulatória adicionados (em visualização). Agora pode exportar continuamente atualizações para avaliações de conformidade regulatória, incluindo para quaisquer iniciativas personalizadas, para um espaço de trabalho Log Analytics ou Hubs de Eventos. Este recurso não está disponível em nuvens nacionais.
Novembro de 2020
As atualizações em novembro incluem:
- Recomendações de pré-visualização 29 adicionadas para aumentar a cobertura do Benchmark de Segurança Azure
- NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
- A lista de recomendações agora inclui filtros
- Experiência de provisionamento automático melhorada e expandida
- A pontuação segura está agora disponível em exportação contínua (pré-visualização)
- A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
- Página de gestão de políticas no portal Azure mostra agora o estado das atribuições de políticas padrão
29 recomendações de pré-visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é o conjunto de diretrizes específicas para o Azure, elaboradas pela Microsoft para boas práticas de segurança e conformidade, baseadas em quadros comuns de conformidade. Saiba mais sobre Azure Security Benchmark.
As 29 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança para aumentar a cobertura deste parâmetro de referência.
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a estas recomendações em Remediar as recomendações em Centro de Segurança do Azure.
| Controlo de segurança | Novas recomendações |
|---|---|
| Criptografar dados em trânsito | - Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL - Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de API - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de função - TLS deve ser atualizado para a versão mais recente para o seu aplicativo Web - FTPS deve ser necessário em seu aplicativo API - FTPS deve ser necessário em seu aplicativo função - FTPS deve ser necessário em seu aplicativo web |
| Gerenciar acesso e permissões | - Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas - A identidade gerenciada deve ser usada em seu aplicativo de API - Identidade gerenciada deve ser usada em seu aplicativo de função - A identidade gerenciada deve ser usada em seu aplicativo web |
| Restringir o acesso não autorizado à rede | - Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL - Ponto final privado deve ser habilitado para servidores MariaDB - Ponto final privado deve ser ativado para servidores MySQL |
| Habilitar auditoria e registro em log | - Os logs de diagnóstico nos Serviços de Aplicativo devem ser habilitados |
| Implementação de melhores práticas de segurança | - Azure Backup deve estar ativado para máquinas virtuais - O backup geo-redundante deve estar ativado para o Azure Database for MariaDB - O backup geo-redundante deve estar ativado para Base de Dados do Azure para MySQL - O backup geo-redundante deve estar ativado para Base de Dados do Azure para PostgreSQL - PHP deve ser atualizado para a versão mais recente para o seu aplicativo API - PHP deve ser atualizado para a versão mais recente para o seu aplicativo web - Java deve ser atualizado para a versão mais recente da sua aplicação API - O Java deve ser atualizado para a versão mais recente da sua aplicação de funções - Java deve ser atualizado para a versão mais recente da sua aplicação web - Python deve ser atualizado para a versão mais recente da sua aplicação API - O Python deve ser atualizado para a versão mais recente da tua aplicação de funções - Python deve ser atualizado para a versão mais recente da sua aplicação web - A retenção de auditoria para servidores SQL deve ser definida para pelo menos 90 dias |
Ligações úteis:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre Azure aplicações API
- Saiba mais sobre Azure aplicações funcionais
- Saiba mais sobre Azure aplicações web
- Saiba mais sobre Azure Database for MariaDB
- Saiba mais sobre Base de Dados do Azure para MySQL
- Saiba mais sobre Base de Dados do Azure para PostgreSQL
NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
A norma NIST SP 800-171 R2 está agora disponível como iniciativa incorporada para utilização no painel de conformidade regulatória do Centro de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de conformidade regulatória NIST SP 800-171 R2.
Para aplicar o padrão às suas assinaturas e monitorar continuamente seu status de conformidade, use as instruções em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-171 R2.
A lista de recomendações agora inclui filtros
Agora você pode filtrar a lista de recomendações de segurança de acordo com uma variedade de critérios. No exemplo a seguir, a lista de recomendações é filtrada para mostrar recomendações que:
- estão geralmente disponíveis (ou seja, não pré-visualização)
- são para contas de armazenamento
- Suporte a correção rápida de remediação
Experiência de provisionamento automático melhorada e expandida
A funcionalidade de autoprovisionamento ajuda a reduzir a sobrecarga de gestão ao instalar as extensões necessárias em VMs Azure novas – e existentes, para que possam beneficiar das proteções do Security Center.
À medida que o Centro de Segurança do Azure cresce, mais extensões foram desenvolvidas e o Security Center pode monitorizar uma lista maior de tipos de recursos. As ferramentas de autoprovisionamento foram agora expandidas para suportar outras extensões e tipos de recursos, aproveitando as capacidades do Azure Policy.
Agora você pode configurar o provisionamento automático de:
- Agente Log Analytics
- (Novo) Azure Policy for Kubernetes
- (Novo) Microsoft Dependency agent
Saiba mais em Autoprovisioning agentes e extensões de Centro de Segurança do Azure.
A pontuação segura está agora disponível em exportação contínua (pré-visualização)
Com a exportação contínua da pontuação segura, pode transmitir alterações à sua pontuação em tempo real para o Hubs de Eventos do Azure ou para um espaço de trabalho do Log Analytics. Utilize esta capacidade para:
- Acompanhe sua pontuação segura ao longo do tempo com relatórios dinâmicos
- exportar dados de pontuação segura para o Microsoft Sentinel (ou qualquer outro SIEM)
- Integre esses dados com quaisquer processos que você já esteja usando para monitorar a pontuação segura em sua organização
Saiba mais sobre como exportar continuamente dados da Central de Segurança.
A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
As atualizações do sistema devem ser instaladas em suas máquinas recomendação foi aprimorada. A nova versão inclui subrecomendações para cada atualização ausente e traz as seguintes melhorias:
Uma experiência redesenhada nas páginas do Centro de Segurança do Azure do portal Azure. A página de detalhes de recomendação para atualizações do sistema deve ser instalada em suas máquinas inclui a lista de descobertas, conforme mostrado abaixo. Quando você seleciona uma única localização, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.
Dados enriquecidos para a recomendação do Azure Resource Graph (ARG). O ARG é um serviço Azure concebido para proporcionar uma exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas para que possa controlar seu ambiente com eficiência.
Para Centro de Segurança do Azure, pode usar ARG e a Kusto Query Language (KQL) para consultar uma vasta gama de dados sobre postura de segurança.
Anteriormente, se você consultou essa recomendação no ARG, a única informação disponível era que a recomendação precisa ser remediada em uma máquina. A consulta a seguir da versão aprimorada retornará todas as atualizações do sistema ausentes agrupadas por máquina.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
A página de gestão de políticas no portal Azure mostra agora o estado das atribuições de políticas por defeito
Agora pode ver se as suas subscrições têm ou não a política padrão do Centro de Segurança atribuída, na página
Outubro de 2020
As atualizações em outubro incluem:
- Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
- Azure Firewall recomendação adicionada (pré-visualização)
- Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
- Painel de conformidade regulatória agora inclui opção para remover padrões
- Microsoft. Tabela Security/SecurityStatuses removida do Azure Resource Graph
Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
O scanner integrado de avaliação de vulnerabilidades do Azure Defender para Servers (alimentado pela Qualys) agora analisa servidores com Azure Arc habilitados.
Quando ativar o Azure Arc nas suas máquinas que não são Azure, o Centro de Segurança oferecerá implementar o scanner de vulnerabilidades integrado nelas – manualmente e em grande escala.
Com esta atualização, pode libertar o poder do Azure Defender para Servidores para consolidar o seu programa de gestão de vulnerabilidades em todos os seus ativos Azure e não Azure.
Principais capacidades:
- Monitorização do estado de provisionamento do scanner VA (avaliação de vulnerabilidades) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc não protegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para máquinas virtuales Azure e máquinas Azure Arc
Saiba mais sobre servidores com Azure Arc habilitados.
Recomendação do Azure Firewall adicionada (pré-visualização)
Foi adicionada uma nova recomendação para proteger todas as suas redes virtuais com o Azure Firewall.
A recomendação, Redes virtuais devem ser protegidas por Azure Firewall aconselha a restringir o acesso às suas redes virtuais e prevenir potenciais ameaças utilizando Azure Firewall.
Saiba mais sobre Azure Firewall.
Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
A recomendação Intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes agora tem uma opção de correção rápida.
Painel de conformidade regulatória agora inclui opção para remover padrões
O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a controles e requisitos de conformidade específicos.
O painel inclui um conjunto padrão de normas regulamentares. Se algum dos padrões fornecidos não for relevante para sua organização, agora é um processo simples removê-los da interface do usuário para uma assinatura. As normas só podem ser removidas ao nível da subscrição ; não o escopo do grupo de gerenciamento.
Saiba mais em Remover um padrão do seu painel.
Microsoft. Tabela Security/securityStatuses removida do Azure Resource Graph (ARG)
Azure Resource Graph é um serviço no Azure concebido para proporcionar uma exploração eficiente de recursos, com a capacidade de consultar em escala através de um determinado conjunto de subscrições, para que possa governar eficazmente o seu ambiente.
Para Centro de Segurança do Azure, pode usar ARG e a Kusto Query Language (KQL) para consultar uma vasta gama de dados sobre postura de segurança. Por exemplo:
- O inventário de ativos utiliza ARG
- Documentamos uma consulta ARG de exemplo sobre como identificar contas sem autenticação multifator (MFA) habilitada
Dentro do ARG, existem tabelas de dados para você usar em suas consultas.
Tip
A documentação do ARG lista todas as tabelas disponíveis em Azure Resource Graph tabela e referência de tipo de recurso.
Desta atualização, o Microsoft. A tabela Security/securityStatuses foi removida. A API securityStatuses ainda está disponível.
A substituição de dados pode ser utilizada pela Microsoft. Tabela de Segurança/Avaliações.
A principal diferença entre a Microsoft. Estados-de-Segurança/Segurança e Microsoft. A Segurança/Avaliações é que, enquanto a primeira mostra a agregação de avaliações, a segunda detém um único registo para cada uma.
Por exemplo, a Microsoft. Security/securityStatuses devolveria um resultado com um conjunto de duas policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Enquanto a Microsoft. A Segurança/Avaliações detém um registo para cada uma dessas avaliações de apólice da seguinte forma:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemplo de conversão de uma consulta ARG existente usando securityStatuses para agora usar a tabela de avaliações:
Consulta que faz referência a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de substituição para a tabela Avaliações:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Saiba mais nos seguintes links:
Setembro de 2020
As atualizações em setembro incluem:
- A Central de Segurança ganha um novo visual!
- Azure Defender lançado
- Azure Defender para Key Vault está geralmente disponível
- Azure Defender para proteção de armazenamento para ficheiros e ADLS Gen2 está geralmente disponível
- As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
- Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
- Isentar um recurso de uma recomendação
- Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
- Pacote de recomendação de proteção de carga de trabalho do Kubernetes
- Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
- Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
- Recomendações de grupos de segurança de rede melhoradas
- Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
- Notificações por email do Centro de Segurança do Azure melhorado
- A pontuação segura não inclui recomendações de visualização
- As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
Centro de Segurança ganha um novo visual
Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para pontuação segura, inventário de ativos e Azure Defender.
A página de visão geral redesenhada tem agora um mosaico para aceder à pontuação segura, inventário de ativos e dashboards Azure Defender. Ele também tem um link de bloco para o painel de conformidade regulamentar.
Saiba mais sobre a página de visão geral.
Azure Defender lançado
Azure Defender é a plataforma de proteção de cargas de trabalho na cloud (CWPP) integrada no Centro de Segurança para proteção avançada, inteligente das suas cargas de trabalho Azure e híbridas. Ele substitui a opção de camada de preço padrão da Central de Segurança.
Quando ativa Azure Defender da área Pricing and settings do Centro de Segurança do Azure, os seguintes planos de Defender são todos ativados simultaneamente e fornecem defesas abrangentes para as camadas de computação, dados e serviços do seu ambiente:
- Azure Defender para servidores
- Azure Defender para App Service
- Azure Defender para armazenamento
- Azure Defender para SQL
- Azure Defender para Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registos de contentores
Cada um desses planos é explicado separadamente na documentação da Central de Segurança.
Com o seu painel dedicado, Azure Defender fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bases de dados SQL, contentores, aplicações web, a sua rede e muito mais.
Saiba mais sobre Azure Defender
Azure Defender para Key Vault está geralmente disponível
Azure Key Vault é um serviço na cloud que protege chaves de encriptação e segredos como certificados, cadeias de ligação e palavras-passe.
Azure Defender para Key Vault fornece proteção avançada de ameaças nativa Azure para Azure Key Vault, proporcionando uma camada adicional de inteligência de segurança. Por extensão, Azure Defender para Key Vault está a proteger muitos dos recursos dependentes das suas contas Key Vault.
O plano opcional agora é GA. Esta funcionalidade estava em pré-visualização como "proteção avançada contra ameaças para Azure Key Vault."
Além disso, as páginas de Key Vault no portal Azure incluem agora uma página dedicada Segurança para recomendações e alertas Centro de Segurança.
Saiba mais em Azure Defender para Key Vault.
Azure Defender para proteção de armazenamento para ficheiros e ADLS Gen2 está geralmente disponível
Azure Defender para Armazenamento deteta atividade potencialmente prejudicial nas suas contas Armazenamento do Azure. Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
O suporte para Ficheiros do Azure e Azure Data Lake Storage Gen2 está agora geralmente disponível.
A partir de 1º de outubro de 2020, começaremos a cobrar pela proteção de recursos nesses serviços.
Saiba mais em Azure Defender para Armazenamento.
As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
A página de inventário de ativos do Centro de Segurança do Azure fornece uma única página para visualizar a postura de segurança dos recursos que ligou ao Centro de Segurança.
O Security Center analisa periodicamente o estado de segurança dos seus recursos Azure para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades.
Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
Azure Defender inclui scanners de vulnerabilidades para digitalizar imagens no seu Azure Container Registry e nas suas máquinas virtuais.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Quando uma localização corresponder aos critérios que você definiu nas regras de desativação, ela não aparecerá na lista de descobertas.
Esta opção está disponível nas páginas de detalhes das recomendações para:
- Vulnerabilidades em imagens Azure Container Registry devem ser corrigidas
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Isentar um recurso de uma recomendação
Ocasionalmente, um recurso será listado como não saudável em relação a uma recomendação específica (e, portanto, reduzindo sua pontuação segura), mesmo que você sinta que não deveria ser. Ele pode ter sido remediado por um processo não rastreado pela Central de Segurança. Ou talvez sua organização tenha decidido aceitar o risco para esse recurso específico.
Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Estas regras podem incluir justificações documentadas, conforme descrito abaixo.
Saiba mais em Isentar um recurso de recomendações e pontuação segura.
Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
O Centro de Segurança do Azure agora protege cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Quando integra projetos AWS e GCP no Security Center, integra AWS Security Hub, GCP Security Command e Centro de Segurança do Azure.
Saiba mais em Ligue as suas contas AWS ao Centro de Segurança do Azure e Ligue os seus projetos GCP ao Centro de Segurança do Azure.
Pacote de recomendação de proteção de carga de trabalho do Kubernetes
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando instalar o Azure Policy for Kubernetes no seu cluster AKS, cada pedido ao servidor API Kubernetes será monitorizado segundo o conjunto pré-definido de boas práticas antes de ser persistido no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
Use a exportação contínua para transmitir os seus alertas e recomendações para Hubs de Eventos do Azure, espaços de trabalho Log Analytics ou Azure Monitor. A partir daí, pode integrar estes dados com SIEMs, como Microsoft Sentinel, Power BI, Azure Data Explorer e outros.
As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações acionáveis dentro de uma recomendação "pai", como "Vulnerabilidades em suas máquinas virtuais devem ser corrigidas".
As descobertas de segurança agora estão disponíveis para exportação por meio de exportação contínua quando você seleciona recomendações e habilita a opção incluir descobertas de segurança.
Páginas relacionadas:
- Security Center solução integrada de avaliação de vulnerabilidades Qualys para máquinas virtuais Azure
- Security Center solução integrada de avaliação de vulnerabilidades para imagens Azure Container Registry
- Exportação contínua
Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
As configurações incorretas de segurança são uma das principais causas de incidentes de segurança. A Central de Segurança agora tem a capacidade de ajudar a evitar configurações incorretas de novos recursos em relação a recomendações específicas.
Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua pontuação segura.
Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:
Usando o modo negado do Azure Policy, pode impedir a criação de recursos pouco saudáveis
Usando a opção imposta, pode tirar partido do efeito DeployIfNotExist da Azure Policy e corrigir automaticamente recursos não conformes aquando da criação
Isso está disponível para recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.
Saiba mais em Evitar configurações incorretas com recomendações de Impor/Negar.
Recomendações de grupos de segurança de rede melhoradas
As seguintes recomendações de segurança relacionadas a grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.
- Todas as portas de rede devem ser restritas no NSG associado à sua VM
- As portas de gestão devem estar fechadas nas suas máquinas virtuais
- As máquinas virtuais voltadas para a Internet devem ser protegidas com Grupos de Segurança de Rede
- As sub-redes devem ser associadas a um Grupo de Segurança de Rede
Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
A recomendação de pré-visualização "As Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes" está a ser obsoleta conforme descrito na documentação Azure Kubernetes Service.
A funcionalidade de política de segurança pod (pré-visualização) está configurada para descontinuação e deixará de estar disponível após 15 de outubro de 2020, em favor do Azure Policy for AKS.
Depois de a política de segurança do pod (pré-visualização) ser obsoleta, deve desativar a funcionalidade em quaisquer clusters existentes que utilizem a funcionalidade obsoleta para realizar futuras atualizações de cluster e manter-se dentro do suporte do Azure.
Notificações por email do Centro de Segurança do Azure melhoradas
As seguintes áreas dos e-mails relativas a alertas de segurança foram melhoradas:
- Adicionada a capacidade de enviar notificações por e-mail sobre alertas para todos os níveis de gravidade
- Foi adicionada a capacidade de notificar utilizadores com diferentes funções no Azure na subscrição
- Estamos notificando proativamente os proprietários de assinaturas por padrão sobre alertas de alta gravidade (que têm uma alta probabilidade de serem violações genuínas)
- Removemos o campo de número de telefone da página de configuração de notificações por e-mail
Saiba mais em Configurar notificações por e-mail para alertas de segurança.
A pontuação segura não inclui recomendações de visualização
O Centro de Segurança avalia continuamente os recursos, as subscrições e a organização quanto a problemas de segurança. Em seguida, agrega todas as descobertas em uma única pontuação para que você possa dizer, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
À medida que novas ameaças são descobertas, novos conselhos de segurança são disponibilizados na Central de Segurança por meio de novas recomendações. Para evitar alterações surpresas na sua pontuação segura e para fornecer um período de carência no qual você pode explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Visualização não são mais incluídas nos cálculos da sua pontuação segura. Eles ainda devem ser corrigidos sempre que possível, para que, quando o período de visualização terminar, contribuam para sua pontuação.
Além disso, as recomendações de visualização não processam um recurso "Não íntegro".
Um exemplo de uma recomendação de pré-visualização:
Saiba mais sobre a pontuação segura.
As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
A página de detalhes das recomendações agora inclui um indicador de intervalo de frescor (sempre que relevante) e uma exibição clara da gravidade da recomendação.
Agosto de 2020
As atualizações em agosto incluem:
- Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
- Adicionado suporte para predefinições de segurança Microsoft Entra ID (para autenticação multifator)
- Foram adicionadas recomendações para principais de serviço
- Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
- Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
O inventário de ativos da Central de Segurança (atualmente em visualização) fornece uma maneira de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
O Security Center analisa periodicamente o estado de segurança dos seus recursos Azure para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades. Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Você pode usar a exibição e seus filtros para explorar seus dados de postura de segurança e tomar outras ações com base em suas descobertas.
Saiba mais sobre inventário de ativos.
Suporte adicionado para os padrões de segurança do Microsoft Entra ID (para autenticação multifator)
O Centro de Segurança adicionou suporte total para as predefinições segurança, as proteções gratuitas de segurança de identidade Microsoft.
Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização de ataques comuns relacionados à identidade. Os incumprimentos de segurança já protegem mais de 5 milhões de inquilinos em geral; 50.000 inquilinos também estão protegidos pelo Centro de Segurança.
O Centro de Segurança agora fornece uma recomendação de segurança sempre que identifica uma subscrição do Azure sem as definições de segurança ativadas. Até agora, o Centro de Segurança recomendava ativar a autenticação multifator usando acesso condicional, que faz parte da licença premium Microsoft Entra ID. Para clientes que utilizam o Microsoft Entra ID gratuitamente, recomendamos agora ativar os valores de segurança por defeito.
Nosso objetivo é incentivar mais clientes a proteger seus ambientes de nuvem com MFA e mitigar um dos maiores riscos, que também é o mais impactante para sua pontuação segura.
Saiba mais sobre padrões de segurança.
Foram adicionadas recomendações para principais de serviço
Foi adicionada uma nova recomendação para recomendar que os clientes do Centro de Segurança que utilizam certificados de gestão para gerir as suas subscrições mudem para entidades de serviço.
A recomendação, Princípios de Serviço devem ser usados para proteger as suas subscrições em vez dos Certificados de Gestão aconselha a usar Princípios de Serviço ou Azure Resource Manager para gerir as suas subscrições de forma mais segura.
Saiba mais sobre Application e objetos principais de serviço em Microsoft Entra ID.
Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
A Central de Segurança inspeciona suas VMs para detetar se elas estão executando uma solução de avaliação de vulnerabilidade. Se nenhuma solução de avaliação de vulnerabilidade for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.
Quando vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir conforme necessário.
Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de scanner que estão usando, unificamos quatro recomendações nas duas seguintes:
| Recomendação unificada | Alterar a descrição |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Substitui as duas recomendações seguintes: Habilite a solução interna de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys (agora preterida) (incluída na camada padrão) A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais (agora preteridas) (níveis padrão e gratuito) |
| As vulnerabilidades em suas máquinas virtuais devem ser corrigidas | Substitui as duas recomendações seguintes: Corrigir vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) (agora preteridas) As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades (agora preterida) |
Agora você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidade da Central de Segurança ou uma solução licenciada em particular ("BYOL") de um parceiro como o Qualys ou o Rapid 7.
Além disso, quando vulnerabilidades são encontradas e relatadas à Central de Segurança, uma única recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidade que as identificou.
Atualizando dependências
Se você tiver scripts, consultas ou automações referentes às recomendações anteriores ou chaves/nomes de política, use as tabelas abaixo para atualizar as referências:
Antes de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys) Chave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corrija vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
As vulnerabilidades devem ser corrigidas através de uma solução de avaliação da vulnerabilidade ID da política: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
A partir de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Incorporado + BYOL |
|
As vulnerabilidades em suas máquinas virtuais devem ser corrigidas Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Incorporado + BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Incorporado + BYOL |
Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando políticas de nível Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
A fase inicial deste projeto inclui uma pré-visualização e a adição de novas políticas (desativadas por padrão) à iniciativa ASC_default.
Você pode ignorar essas políticas com segurança e não haverá impacto no seu ambiente. Se quiser ativá-las, inscreva-se na pré-visualização através da Microsoft Cloud Security Private Community e selecione entre as seguintes opções:
- Pré-visualização única – Para aderir apenas a esta pré-visualização. Mencione explicitamente "ASC Continuous Scan" como a visualização que você gostaria de participar.
- Programa em Curso – A acrescentar a esta e futuras pré-visualizações. Terá de preencher um contrato de perfil e privacidade.
Julho de 2020
As atualizações em julho incluem:
- A avaliação de vulnerabilidades para máquinas virtuais agora está disponível para imagens que não estão no mercado
- Proteção contra ameaças para Armazenamento do Azure expandida para incluir Ficheiros do Azure e Azure Data Lake Storage Gen2 (pré-visualização)
- Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
- Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
- Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
- Seis políticas de segurança de dados avançada SQL preteridas
Avaliação de vulnerabilidades para máquinas virtuais já disponível para imagens externas ao marketplace
Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. A verificação foi para confirmar um SKU de mercado da máquina virtual de destino.
A partir desta atualização, a verificação é removida e agora pode implementar ferramentas de avaliação de vulnerabilidades em máquinas Windows e Linux 'personalizadas'. As imagens personalizadas são aquelas que você modificou em relação aos padrões do marketplace.
Embora agora você possa implantar a extensão de avaliação de vulnerabilidade integrada (alimentada pela Qualys) em muitas outras máquinas, o suporte só está disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs de camada padrão
Saiba mais sobre o scanner integrado de vulnerabilidades para máquinas virtuais (requer Azure Defender).
Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada em particular da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidade de parceiro.
Proteção contra ameaças para Armazenamento do Azure expandida para incluir Ficheiros do Azure e Azure Data Lake Storage Gen2 (pré-visualização)
A proteção contra ameaças para Armazenamento do Azure deteta atividade potencialmente prejudicial nas suas contas Armazenamento do Azure. A Central de Segurança exibe alertas quando deteta tentativas de acessar ou explorar suas contas de armazenamento.
Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
Foram adicionadas oito novas recomendações para fornecer uma forma simples de ativar as funcionalidades de proteção contra ameaças do Centro de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, planos de App Service, servidores Base de Dados SQL do Azure, servidores SQL em máquinas, contas Armazenamento do Azure, Azure Kubernetes Service clusters, Azure Container Registry registries, e Azure Key Vault vaults.
As novas recomendações são as seguintes:
- A segurança de dados Advanced deve estar ativada nos servidores Base de Dados SQL do Azure
- A segurança avançada de dados deve ser habilitada em servidores SQL em máquinas
- A proteção avançada contra ameaças deve estar ativada nos planos Serviço de Aplicações do Azure
- A proteção avançada contra ameaças deve estar ativada nos registos Azure Container Registry
- A proteção avançada contra ameaças deve estar ativada nos Azure Key Vault vaults
- A proteção avançada contra ameaças deve estar ativada em clusters Azure Kubernetes Service
- A proteção avançada contra ameaças deve estar ativada nas Armazenamento do Azure contas
- A proteção avançada contra ameaças deve ser habilitada em máquinas virtuais
As recomendações também incluem o recurso de correção rápida.
Important
A correção de qualquer uma dessas recomendações resultará em encargos para proteger os recursos relevantes. Essas cobranças começarão imediatamente se você tiver recursos relacionados na assinatura atual. Ou no futuro, se você adicioná-los em uma data posterior.
Por exemplo, se não tiver clusters do Azure Kubernetes Service na sua subscrição e ativar a proteção contra ameaças, não serão incorridas cobranças. Se, no futuro, você adicionar um cluster na mesma assinatura, ele será automaticamente protegido e as cobranças começarão nesse momento.
Saiba mais sobre a proteção contra ameaças em Centro de Segurança do Azure.
Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
Como parte dos investimentos contínuos no domínio da segurança dos contentores, temos o prazer de partilhar uma melhoria significativa de desempenho nas digitalizações dinâmicas das imagens dos contentores armazenadas no Azure Container Registry pelo Security Center. As verificações agora normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, podem demorar até 15 minutos.
Para melhorar a clareza e orientação relativamente às capacidades de segurança de containers do Centro de Segurança do Azure, também atualizámos as páginas de documentação de segurança de containers.
Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
O recurso de controles de aplicativo adaptáveis recebeu duas atualizações significativas:
Uma nova recomendação identifica comportamentos potencialmente legítimos que não foram permitidos anteriormente. A nova recomendação, Regras de lista de permissões em sua política de controle de aplicativo adaptável deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativo adaptável.
As regras de caminho agora oferecem suporte a curingas. A partir desta atualização, você pode configurar regras de caminho permitido usando curingas. Há dois cenários suportados:
Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta variável (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pastas gerados automaticamente, etc.).
Seis políticas de segurança de dados avançada SQL preteridas
Seis políticas relacionadas à segurança avançada de dados para máquinas SQL estão sendo preteridas:
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados da instância gerenciada SQL
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados do SQL Server
- As configurações avançadas de segurança de dados para instância gerenciada SQL devem conter um endereço de e-mail para receber alertas de segurança
- As configurações avançadas de segurança de dados para o SQL Server devem conter um endereço de email para receber alertas de segurança
- As notificações por e-mail para administradores e proprietários de assinaturas devem ser habilitadas nas configurações avançadas de segurança de dados da instância gerenciada SQL
- As notificações por e-mail destinadas aos administradores e proprietários de subscrições devem estar ativadas nas definições da segurança de dados avançada no servidor SQL
Saiba mais sobre as políticas integradas.
Junho de 2020
As atualizações em junho incluem:
- API de pontuação segura (visualização)
- Segurança avançada de dados para máquinas SQL (Azure, outras clouds e on-premises) (pré-visualização)
- Duas novas recomendações para implementar o agente Log Analytics em máquinas Azure Arc (pré-visualização)
- Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
- Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
- Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
API de pontuação segura (visualização)
Agora você pode acessar sua pontuação por meio da API de pontuação segura (atualmente em visualização). Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. Por exemplo, você pode usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas.
Para exemplos de ferramentas externas tornadas possíveis com a API de pontuação segura, veja a área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre a pontuação secure e os controlos de segurança em Centro de Segurança do Azure.
Segurança avançada de dados para máquinas SQL (Azure, outras clouds e on-premises) (pré-visualização)
A segurança avançada de dados do Centro de Segurança do Azure para máquinas SQL protege agora os SQL Servers alojados no Azure, noutros ambientes cloud e até em máquinas locais. Isto estende as proteções dos seus servidores SQL nativos do Azure para suportarem totalmente ambientes híbridos.
A segurança avançada de dados fornece avaliação de vulnerabilidades e proteção avançada contra ameaças para suas máquinas SQL, onde quer que elas estejam localizadas.
A configuração envolve duas etapas:
Implantar o agente Log Analytics na máquina anfitriã do seu SQL Server para fornecer a ligação à conta do Azure.
Ativar o pacote opcional na página de preços e definições do Centro de Segurança.
Saiba mais sobre segurança de dados avançada para máquinas SQL.
Duas novas recomendações para implementar o agente Log Analytics em máquinas Azure Arc (pré-visualização)
Foram adicionadas duas novas recomendações para ajudar a implementar o Agente Log Analytics nas suas máquinas de Azure Arc e garantir que estão protegidas por Centro de Segurança do Azure:
- O agente Log Analytics deve ser instalado nas suas máquinas de Azure Arc baseadas em Windows (Preview)
- O agente Log Analytics deve ser instalado nas suas máquinas de Azure Arc baseadas em Linux (Pré-visualização)
Essas novas recomendações aparecerão nos mesmos quatro controles de segurança que a recomendação existente (relacionada), o agente de monitoramento deve ser instalado em suas máquinas: corrigir configurações de segurança, aplicar controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de endpoint.
As recomendações também incluem o recurso de correção rápida para acelerar o processo de implantação.
Saiba mais sobre como Centro de Segurança do Azure usa o agente em O que é o agente Log Analytics?.
Saiba mais sobre extensões para máquinas Azure Arc.
Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
Para implementar as suas configurações de automação por toda a organização, utilize estas políticas de Azure incorporadas 'DeployIfdNotExist' para criar e configurar exportação contínua e workflow automation:
As definições de políticas podem ser encontradas no Azure Policy:
| Goal | Policy | ID da Política |
|---|---|---|
| Exportação contínua para Hubs de Eventos | Exportar para os Centros de Eventos para alertas e recomendações Centro de Segurança do Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportação contínua para o espaço de trabalho Log Analytics | Exportar para Log Analytics espaço de trabalho para alertas e recomendações de Centro de Segurança do Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automação do fluxo de trabalho para alertas de segurança | Deploy Workflow Automation for Centro de Segurança do Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Deploy Workflow Automation para Centro de Segurança do Azure recomendações | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Comece a usar modelos automatização de fluxo de trabalho.
Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação do fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.
Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
O controle de segurança "implementar práticas recomendadas de segurança" agora inclui a seguinte nova recomendação:
- As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Uma recomendação existente, as máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distinguindo entre VMs voltadas para a Internet e não voltadas para a Internet. Para ambos, uma recomendação de alta gravidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Esta nova recomendação separa as máquinas não voltadas para a Internet para reduzir os falsos positivos e evitar alertas desnecessários de alta gravidade.
Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
As novas definições de política abaixo foram adicionadas à iniciativa ASC Default e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança avançada de dados para os tipos de recursos relevantes.
As definições de políticas podem ser encontradas no Azure Policy:
Saiba mais sobre Proteção contra ameaças em Centro de Segurança do Azure.
Maio de 2020
As atualizações em maio incluem:
- Regras de supressão de alertas (visualização)
- A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
- Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
- As recomendações personalizadas foram movidas para um controlo de segurança separado
- Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
- Controlo de segurança alargado "Implementar as melhores práticas de segurança"
- As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
- Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Regras de supressão de alertas (visualização)
Esta nova funcionalidade (atualmente em pré-visualização) ajuda a reduzir a fadiga de alerta. Use regras para ocultar automaticamente alertas que são conhecidos por serem inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.
Os alertas que correspondem às suas regras de supressão ativadas ainda serão gerados, mas seu estado será definido como descartado. Pode ver o estado no portal do Azure ou da forma como quer que aceda aos alertas de segurança do seu Centro de Segurança.
As regras de supressão definem os critérios relativamente aos quais as indicações devem ser automaticamente rejeitadas. Normalmente, você usaria uma regra de supressão para:
suprimir alertas que identificou como falsos positivos
suprimir alertas que estão sendo acionados com muita frequência para serem úteis
Saiba mais sobre alertas suppressing do Centro de Segurança do Azure's threat protection.
A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
A camada padrão da Central de Segurança agora inclui uma avaliação integrada de vulnerabilidades para máquinas virtuais sem custo adicional. Esta extensão é alimentada pela Qualys, mas reporta as suas descobertas diretamente ao Centro de Segurança. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança.
A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.
Para implantar a solução, use a nova recomendação de segurança:
"Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys)"
Saiba mais sobre a avaliação integrada de vulnerabilidades para máquinas virtuais do Centro de Segurança.
Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.
Esta atualização traz as seguintes alterações para esse recurso:
A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time."
A recomendação é acionada somente se houver portas de gerenciamento abertas.
Saiba mais sobre o recurso de acesso JIT.
As recomendações personalizadas foram movidas para um controlo de segurança separado
Um controle de segurança introduzido com a pontuação de segurança aprimorada foi "Implementar práticas recomendadas de segurança". Todas as recomendações personalizadas criadas para as suas subscrições foram automaticamente colocadas nesse controlo.
Para facilitar a localização das suas recomendações personalizadas, transferimo-las para um controlo de segurança dedicado, "Recomendações personalizadas". Este controlo não tem impacto na sua pontuação segura.
Saiba mais sobre controlos de segurança em Enhanced secure score (pré-visualização) em Centro de Segurança do Azure.
Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controlo é um conjunto de recomendações de segurança, com instruções que o ajudam a implementar essas recomendações.
Para ver imediatamente o quão bem sua organização está protegendo cada superfície de ataque individual, revise as pontuações de cada controle de segurança.
Por padrão, suas recomendações são mostradas nos controles de segurança. A partir desta atualização, você também pode exibi-los como uma lista. Para visualizá-los como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova opção 'Agrupar por controles'. A alternância está acima da lista no portal.
Os controles de segurança - e essa alternância - fazem parte da nova experiência de pontuação segura. Lembre-se de nos enviar os seus comentários a partir do portal.
Saiba mais sobre controlos de segurança em Enhanced secure score (pré-visualização) em Centro de Segurança do Azure.
Controlo de segurança alargado "Implementar as melhores práticas de segurança"
Um controle de segurança introduzido com a pontuação de segurança aprimorada é "Implementar práticas recomendadas de segurança". Quando uma recomendação está nesse controle, isso não afeta a pontuação segura.
Com esta atualização, três recomendações saíram dos controlos em que foram originalmente colocadas e passaram para este controlo de práticas recomendadas. Demos este passo porque determinámos que o risco destas três recomendações é menor do que se pensava inicialmente.
Além disso, foram introduzidas e acrescentadas a este controlo duas novas recomendações.
As três recomendações que avançaram são as seguintes:
- MFA deve ser habilitado em contas com permissões de leitura em sua assinatura (originalmente no controle "Enable MFA")
- Contas externas com permissões de leitura devem ser removidas da sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
- Um máximo de 3 proprietários devem ser designados para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
As duas novas recomendações aditadas ao controlo são as seguintes:
A extensão de configuração de convidados deve ser instalada em Windows máquinas virtuais (Pré-visualização) - A utilização de Azure Policy Configuração de Convidados proporciona visibilidade dentro das máquinas virtuais para as definições do servidor e da aplicação (apenas Windows).
Microsoft Defender O Exploit Guard deve estar ativado nas suas máquinas (Pré-visualização) - Microsoft Defender Exploit Guard aproveita o agente de Configuração de Convidados Azure Policy. O Exploit Guard tem quatro componentes concebidos para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas equilibrem os seus requisitos de risco de segurança e produtividade (apenas para Windows).
Saiba mais sobre Microsoft Defender Exploit Guard em Crie e implemente uma política de Exploit Guard.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização).
As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da pontuação segura e do painel de padrões de conformidade regulamentar. Esta funcionalidade está agora disponível em geral e permite-lhe alargar a cobertura da avaliação de segurança da sua organização no Centro de Segurança.
Crie uma iniciativa personalizada no Azure Policy, adicione políticas e integre-a no Centro de Segurança do Azure, visualizando-a como recomendações.
Agora também adicionamos a opção de editar os metadados de recomendação personalizados. As opções de metadados incluem gravidade, etapas de correção, informações sobre ameaças e muito mais.
Saiba mais sobre como aprimorar suas recomendações personalizadas com informações detalhadas.
Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Estamos a integrar as capacidades de deteção Windows análise de crash dump (CDA) na deteção de ataques sem ficheiros. A análise de deteção de ataques sem ficheiros traz versões melhoradas dos seguintes alertas de segurança para máquinas Windows: Injeção de código descoberta, Módulo Windows Mascarado Detetado, Código Shell descoberto e Segmento de código suspeito detetado.
Alguns dos benefícios desta transição:
Deteção proativa e oportuna de malware - A abordagem CDA envolvia esperar que uma falha ocorresse e, em seguida, executar a análise para encontrar artefatos maliciosos. O uso da deteção de ataques sem arquivos proporciona a identificação proativa de ameaças na memória enquanto elas estão em execução.
Alertas enriquecidos - Os alertas de segurança da deteção de ataques sem arquivo incluem enriquecimentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.
Agregação de alertas - Quando o CDA detetou vários padrões de ataque em um único despejo de falha, disparou vários alertas de segurança. A deteção de ataques sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um único alerta, eliminando a necessidade de correlacionar vários alertas.
Requisitos reduzidos no seu Log Analytics espaço de trabalho - Dumps de crash contendo dados potencialmente sensíveis deixarão de ser carregados para o seu espaço de trabalho Log Analytics.
Abril de 2020
As atualizações em abril incluem:
- Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
- As recomendações de Identidade agora incluídas no Centro de Segurança do Azure nível gratuito
Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
O painel de conformidade regulamentar Centro de Segurança do Azure inclui agora pacotes dynamic compliance (agora geralmente disponíveis) para acompanhar normas adicionais da indústria e regulamentares.
Os pacotes de conformidade dinâmicos podem ser adicionados à sua subscrição ou grupo de gestão a partir da página da política de segurança do Centro de Segurança. Quando estiver integrado numa norma ou referência, a norma aparece no dashboard de conformidade regulamentar com todos os dados de conformidade associados mapeados como avaliações. Estará disponível para transferência um relatório resumido de todas as normas integradas.
Agora, você pode adicionar padrões como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Funcionário do Reino Unido e NHS do Reino Unido
- PBMM Federal do Canadá
- Azure CIS 1.1.0 (novo) (que é uma representação mais completa da Azure CIS 1.1.0)
Além disso, adicionámos recentemente o Azure Security Benchmark, as diretrizes Azure específicas para as melhores práticas de segurança e conformidade redigidas por Microsoft, baseadas em quadros comuns de conformidade. Serão suportadas normas adicionais no dashboard à medida que forem disponibilizadas.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Recomendações de identidade agora incluídas no Centro de Segurança do Azure free tier
Recomendações de segurança para identidade e acesso no Centro de Segurança do Azure gratuito estão agora geralmente disponíveis. Isso faz parte do esforço para tornar os recursos de gerenciamento de postura de segurança na nuvem (CSPM) gratuitos. Até agora, estas recomendações só estavam disponíveis no escalão de preço padrão.
Exemplos de recomendações de identidade e acesso incluem:
- "Deve ativar a autenticação multifator nas contas com permissões de proprietário na sua subscrição".
- "Deve designar um máximo de três proprietários para a sua subscrição".
- "Deve remover as contas preteridas da sua subscrição".
Se tiver subscrições no escalão de preço gratuito, as respetivas classificações de segurança serão afetadas por esta alteração, uma vez que nunca foram avaliadas em termos da sua segurança de identidade e acesso.
Março de 2020
As atualizações em março incluem:
- A automação do fluxo de trabalho agora está disponível para o público em geral
- Integração de Centro de Segurança do Azure com Windows Admin Center
- Proteção para Azure Kubernetes Service
- Experiência just-in-time melhorada
- Duas recomendações de segurança para aplicativos Web preteridas
A automação do fluxo de trabalho agora está disponível para o público em geral
A funcionalidade de automação de fluxos de trabalho do Centro de Segurança do Azure está agora geralmente disponível. Utilize-a para acionar automaticamente o Logic Apps nos alertas e recomendações de segurança. Além disso, os acionadores manuais estão disponíveis para alertas e para todas as recomendações que tiverem a opção de correção rápida disponível.
Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Estes processos poderão incluir o envio de notificações para os intervenientes relevantes, a iniciação de um processo de gestão de alterações e a aplicação de medidas específicas de remediação. Os especialistas em segurança recomendam que automatize o número máximo de passos possível desses procedimentos. A automatização reduz os custos gerais e pode melhorar a sua segurança na medida em que garante a rápida realização dos passos de forma consistente e de acordo com os seus requisitos predefinidos.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte Automação do fluxo de trabalho.
Saiba mais sobre como criar aplicativos lógicos.
Integração do Centro de Segurança do Azure com o Windows Admin Center
Agora é possível transferir os seus servidores Windows on-premises do Windows Admin Center diretamente para o Centro de Segurança do Azure. O Security Center torna-se então o seu único painel de vidro para visualizar a informação de segurança de todos os seus recursos do Windows Admin Center, incluindo servidores on-premises, máquinas virtuais e cargas de trabalho PaaS adicionais.
Depois de mover um servidor do Windows Admin Center para o Centro de Segurança do Azure, poderá fazer:
- Consulte alertas e recomendações de segurança na extensão Security Center do Windows Admin Center.
- Consulte a postura de segurança e recupere informações detalhadas adicionais dos seus servidores geridos pelo Windows Admin Center no Centro de Segurança dentro do portal Azure (ou através de uma API).
Saiba mais sobre como integrar Centro de Segurança do Azure com Windows Admin Center.
Protection for Azure Kubernetes Service
O Centro de Segurança do Azure está a expandir as suas funcionalidades de segurança de contentores para proteger o Azure Kubernetes Service (AKS).
A popular plataforma de código aberto Kubernetes é adotada tão amplamente que agora é um padrão da indústria para orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de uma aplicação em contentor requer conhecimento especializado para garantir que a infraestrutura é configurada de forma segura e monitorizada constantemente para detetar potenciais ameaças.
A defesa do Centro de Segurança inclui:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas na Central de Segurança.
- Recomendações de segurança - Recomendações acionáveis para ajudá-lo a cumprir as práticas recomendadas de segurança para o AKS. Essas recomendações são incluídas na sua pontuação segura para garantir que sejam vistas como parte da postura de segurança da sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço do Kubernetes".
- Proteção contra ameaças - Através da análise contínua da sua implementação do AKS, o Centro de Segurança alerta-o para ameaças e atividades maliciosas detetadas ao nível do anfitrião e do cluster AKS.
Saiba mais sobre a integração da Azure Kubernetes Services com o Security Center.
Saiba mais sobre os recursos de segurança do contêiner na Central de Segurança.
Experiência just-in-time melhorada
As funcionalidades, operação e interface de utilizador das ferramentas just-in-time do Centro de Segurança do Azure que protegem as suas portas de gestão foram melhoradas da seguinte forma:
Justification - Ao solicitar acesso a uma máquina virtual (VM) através da página just-in-time do portal Azure, está disponível um novo campo opcional para introduzir uma justificação para o pedido. A informação introduzida neste campo pode ser vista no registo de atividades. - Limpeza automática de regras redundantes just-in-time (JIT) - Sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura por incoerências entre as regras da sua política e as regras do NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determina a causa e, quando é seguro fazê-lo, remove as regras internas que não são mais necessárias. A ferramenta de limpeza nunca elimina regras que tenham sido criadas por si.
Saiba mais sobre o recurso de acesso JIT.
Duas recomendações de segurança para aplicativos Web preteridas
Duas recomendações de segurança relacionadas com aplicações Web estão a ser descontinuadas:
As regras para aplicações Web em NSGs IaaS devem ser protegidas. (Política relacionada: As regras dos NSGs para aplicações Web em IaaS devem ser reforçadas)
O acesso aos Serviços Aplicacionais deve ser restringido. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [visualização])
Essas recomendações não aparecerão mais na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".
Fevereiro de 2020
Deteção de ataques sem arquivos para Linux (visualização)
À medida que os atacantes recorrem cada vez mais a métodos mais furtivos para evitar a deteção, o Centro de Segurança do Azure está a expandir a deteção de ataques sem ficheiros para Linux, além do Windows. Os ataques fileless exploram as vulnerabilidades de software, injetam payloads maliciosos nos processos de sistema benignos e ocultam-se na memória. Estas técnicas:
- minimizar ou eliminar vestígios de malware no disco
- reduzir significativamente as chances de deteção por soluções de verificação de malware baseadas em disco
Para contrariar esta ameaça, o Centro de Segurança do Azure lançou a deteção de ataques sem ficheiros para Windows em outubro de 2018, e agora estendeu também a deteção de ataques sem ficheiros no Linux.
Janeiro de 2020
Pontuação segura melhorada (pré-visualização)
Uma versão melhorada da funcionalidade de pontuação segura do Centro de Segurança do Azure está agora disponível em pré-visualização. Nesta versão, estão agrupadas várias recomendações nos Controlos de Segurança que refletem melhor as superfícies vulneráveis a ataques (por exemplo, acesso restrito a portas de gestão).
Familiarize-se com as alterações da classificação de segurança durante a fase de pré-visualização e determine outras remediações que o ajudarão a proteger ainda mais o seu ambiente.
Saiba mais sobre a pontuação segura aprimorada (visualização).
Novembro de 2019
As atualizações em novembro incluem:
- Proteção contra Ameaças para Azure Key Vault em regiões da América do Norte (pré-visualização)
- Proteção contra Ameaças para Armazenamento do Azure inclui Triagem de Reputação de Malware
- Automação do fluxo de trabalho com aplicativos lógicos (visualização)
- Correção rápida para recursos em massa geralmente disponíveis
- Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
- Normas adicionais de conformidade regulamentar (pré-visualização)
- Proteção contra Ameaças para Azure Kubernetes Service (pré-visualização)
- Avaliação de vulnerabilidade de máquina virtual (visualização)
- Segurança avançada de dados para servidores SQL em Máquinas Virtuais do Azure (pré-visualização)
- Suporte para políticas personalizadas (visualização)
- Extensão da cobertura Centro de Segurança do Azure com plataforma para comunidade e parceiros
- Integrações avançadas com exportação de recomendações e alertas (visualização)
- Servidores on-premises para o Centro de Segurança a partir de Windows Admin Center (pré-visualização)
Proteção contra Ameaças para Azure Key Vault nas Regiões da América do Norte (pré-visualização)
O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho das aplicações cloud, oferecendo a capacidade de gerir centralmente chaves, segredos, chaves criptográficas e políticas na cloud. Como o Azure Key Vault armazena dados sensíveis e críticos para o negócio, requer máxima segurança para os cofres de chaves e para os dados neles armazenados.
O suporte do Centro de Segurança do Azure para Proteção contra Ameaças no Azure Key Vault fornece uma camada adicional de inteligência de segurança que deteta tentativas invulgares e potencialmente prejudiciais de aceder ou explorar cofres de chaves. Esta nova camada de proteção permite que os clientes respondam a ameaças contra os seus cofres de chaves sem serem especialistas em segurança ou sem uma gestão de sistemas de monitorização de segurança. A funcionalidade está em pré-visualização pública nas Regiões da América do Norte.
A Proteção contra Ameaças para Armazenamento do Azure inclui Triagem de Reputação de Malware
A proteção contra ameaças para o Armazenamento do Azure oferece novas deteções alimentadas pelo Microsoft Threat Intelligence para detetar uploads de malware para o Armazenamento do Azure, utilizando análise de reputação de hash e acesso suspeito a partir de um nó de saída ativo do Tor (um proxy de anonimização). Agora pode visualizar malware detetado em várias contas de armazenamento usando o Centro de Segurança do Azure.
Automação do fluxo de trabalho com aplicativos lógicos (visualização)
As organizações com segurança e TI/operações geridas centralmente implementam processos de fluxo de trabalho internos para promoverem as ações necessárias dentro da organização quando se detetam discrepâncias nos respetivos ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis e a automação pode simplificar muito os processos dentro da organização.
Hoje estamos a introduzir uma nova funcionalidade no Security Center que permite aos clientes criar configurações de automação aproveitando o Azure Logic Apps e criar políticas que as ativam automaticamente com base em conclusões específicas do ASC, como Recomendações ou Alertas. O Azure Logic App pode ser configurado para realizar qualquer ação personalizada suportada pela vasta comunidade de conectores Logic App, ou usar um dos modelos fornecidos pelo Centro de Segurança, como enviar um email ou abrir um ticket ServiceNow™.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte Automação do fluxo de trabalho.
Para aprender sobre a criação de Aplicações Lógicas, veja Azure Logic Apps.
Correção rápida para recursos em massa geralmente disponíveis
Devido ao grande número de tarefas que são atribuídas a um utilizador como parte da Classificação de Segurança, a capacidade de remediar problemas numa frota de grandes dimensões pode ser um desafio.
Use a correção rápida para corrigir erros de configuração de segurança, corrigir recomendações sobre vários recursos e melhorar sua pontuação segura.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
A correção rápida está geralmente disponível hoje para clientes como parte da página de recomendações da Central de Segurança.
Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
O Centro de Segurança do Azure pode agora analisar imagens de contentores no Azure Container Registry à procura de vulnerabilidades.
A análise das imagens consiste na análise do ficheiro de imagem de contentor e numa verificação posterior que visa detetar eventuais vulnerabilidades conhecidas (com tecnologia da Qualys).
A própria digitalização é automaticamente acionada ao enviar novas imagens de contentores para o Azure Container Registry. As vulnerabilidades encontradas aparecerão conforme as recomendações da Central de Segurança e serão incluídas na pontuação segura, juntamente com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.
Normas adicionais de conformidade regulamentar (pré-visualização)
O dashboard "Conformidade Regulamentar" fornece informações sobre a sua postura de conformidade com base em avaliações do Centro de Segurança. O dashboard mostra como os seus ambientes estão em conformidade com controlos e requisitos definidos por normas regulamentares e referências da indústria específicas, e fornece recomendações prescritivas sobre a forma como se devem abordar estes requisitos.
Até agora, o painel de conformidade regulatória suportou quatro normas integradas: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Estamos agora anunciando a versão prévia pública de padrões adicionais suportados: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official juntamente com o UK NHS. Estamos também a lançar uma versão atualizada do Azure CIS 1.1.0, cobrindo mais controlos do standard e aumentando a extensibilidade.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Threat Protection for Azure Kubernetes Service (preview)
O Kubernetes está rapidamente a tornar-se o novo padrão para implementar e gerir software na cloud. Poucas são as pessoas que têm uma vasta experiência com o Kubernetes e muitas apenas se focam na administração e engenharia gerais, pelo que ignoram o fator da segurança. Deve configurar-se o ambiente do Kubernetes com cuidado para este estar protegido ao garantir que nenhuma porta de superfície de ataque focada em contentores é deixada aberta. O Security Center está a expandir o seu suporte no espaço de contentores para um dos serviços que mais cresce no Azure - Azure Kubernetes Service (AKS).
As novas funcionalidades nesta versão de pré-visualização pública incluem:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas da Central de Segurança.
- Recomendações de pontuação segura - Itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviços do Kubernetes".
- Deteção de ameaças - Análise baseada em host e cluster, como "Um contêiner privilegiado detetado".
Avaliação de vulnerabilidade de máquina virtual (visualização)
Muitas vezes, as aplicações instaladas em máquinas virtuais podem ter vulnerabilidades que poderão originar falhas de segurança na máquina virtual. Estamos anunciando que a camada padrão da Central de Segurança inclui avaliação de vulnerabilidade interna para máquinas virtuais sem custo adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na visualização pública, permitirá que você analise continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresentar as descobertas na experiência do portal da Central de Segurança. O Centro de Segurança realiza todas as operações de implementação, pelo que o utilizador não precisará de ter trabalho adicional. No futuro, estamos planejando fornecer opções de avaliação de vulnerabilidade para dar suporte às necessidades de negócios exclusivas de nossos clientes.
Saiba mais sobre avaliações de vulnerabilidades para o seu Máquinas Virtuais do Azure.
Advanced data security for SQL servers on Máquinas Virtuais do Azure (pré-visualização)
O suporte do Centro de Segurança do Azure para proteção contra ameaças e avaliação de vulnerabilidades para bases de dados SQL a correr em VMs IaaS está agora em pré-visualização.
A avaliação de vulnerabilidades é um serviço fácil de configurar que pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. Ele fornece visibilidade sobre sua postura de segurança como parte da pontuação segura e inclui as etapas para resolver problemas de segurança e aprimorar suas fortificações de banco de dados.
A Proteção Avançada contra Ameaças deteta atividades anómalas que indicam tentativas potencialmente perigosas e invulgares para aceder ou explorar o seu SQL Server. Monitoriza continuamente a sua base de dados para detetar atividades suspeitas e apresenta alertas de segurança orientados para ações relativos a padrões de acesso anómalo a bases de dados. Estes alertas mostram detalhes das atividades suspeitas e as ações recomendadas para investigar e mitigar essa ameaça.
Suporte para políticas personalizadas (visualização)
O Centro de Segurança do Azure agora suporta políticas personalizadas (em pré-visualização).
Os nossos clientes têm vindo a querer alargar a cobertura atual de avaliações de segurança no Security Center com as suas próprias avaliações baseadas nas políticas que criam no Azure Policy. Graças ao suporte para políticas personalizadas, isto é agora possível.
Estas novas políticas farão parte da experiência de recomendações do Centro de Segurança, da Classificação de Segurança e do dashboard das normas de conformidade regulamentar. Com o suporte para políticas personalizadas, agora pode criar uma iniciativa personalizada no Azure Policy, depois adicioná-la como política no Security Center e visualizá-la como uma recomendação.
Ampliação da cobertura do Centro de Segurança do Azure com plataforma para comunidade e parceiros
Use o Security Center para receber recomendações não só da Microsoft, mas também de soluções já existentes de parceiros como Check Point, Tenable e CyberArk, com muitas mais integrações a caminho. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você visualize suas recomendações de postura de segurança em um único local, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações internas e de parceiros. Também pode exportar as recomendações do Centro de Segurança para produtos de parceiros.
Saiba mais sobre Associação de Segurança Inteligente da Microsoft.
Integrações avançadas com exportação de recomendações e alertas (visualização)
Para permitir cenários de nível empresarial em cima do Security Center, é agora possível consumir alertas e recomendações do Security Center em locais adicionais, exceto no portal ou API do Azure. Estes podem ser exportados diretamente para um hub de eventos e para os espaços de trabalho da Log Analytics. Seguem-se alguns fluxos de trabalho que pode criar em torno destas novas funcionalidades:
- Com a exportação para o Log Analytics workspace, pode criar painéis personalizados com o Power BI.
- Com a exportação para Event Hubs, poderá exportar alertas e recomendações do Security Center para os seus SIEMs de terceiros, para uma solução de terceiros ou para o Azure Data Explorer.
Servidores on-premises para Security Center a partir do Windows Admin Center (pré-visualização)
Windows Admin Center é um portal de gestão para servidores Windows que não estão implementados no Azure, oferecendo-lhes várias funcionalidades de gestão do Azure, como backup e atualizações do sistema. Recentemente, adicionámos a capacidade de integrar estes servidores não Azure para serem protegidos diretamente pelo ASC a partir da experiência do Windows Admin Center.
Os utilizadores podem agora integrar um servidor WAC no Centro de Segurança do Azure e permitir a visualização dos seus alertas e recomendações de segurança diretamente na experiência do Windows Admin Center.
Setembro de 2019
As atualizações em setembro incluem:
- Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
- Recomendação de segurança de contentores Control usando Azure Policy
Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
A experiência de gestão de regras para máquinas virtuais através de controlos de aplicação adaptáveis foi melhorada. Os controlos adaptativos de aplicações do Centro de Segurança do Azure ajudam-no a controlar quais as aplicações que podem correr nas suas máquinas virtuais. Para além de uma melhoria global da gestão de regras, dispõe também de um novo benefício que lhe permite controlar que tipos de ficheiro serão protegidos sempre que adicionar uma nova regra.
Saiba mais sobre controles de aplicativos adaptáveis.
Recomendação de segurança de contentores de controlo usando Azure Policy
A recomendação do Centro de Segurança do Azure para remediar vulnerabilidades na segurança dos contentores pode agora ser ativada ou desativada através do Azure Policy.
Para ver as políticas de segurança ativadas, abra a página Política de Segurança no Centro de Segurança.
Agosto de 2019
As atualizações em agosto incluem:
- Just-in-time (JIT) acesso à VM para Azure Firewall
- Remediação com um único clique para melhorar sua postura de segurança (visualização)
- Gerenciamento entre locatários
Just-in-time (JIT) VM access for Azure Firewall
O acesso a VM just-in-time (JIT) para Azure Firewall está agora geralmente disponível. Use-o para proteger os seus ambientes protegidos pelo Azure Firewall, além dos ambientes protegidos pelo NSG.
O acesso a VMs JIT reduz a exposição a ataques volumétricos de rede ao fornecer acesso controlado às VMs apenas quando necessário, utilizando as suas regras NSG e Azure Firewall.
Quando ativar o JIT para as suas VMs, criará uma política que determina as portas a proteger, o tempo durante o qual permanecem abertas e os endereços IP aprovados a partir dos quais estas portas podem ser acedidas. Esta política ajuda-o a manter o controlo das ações que os utilizadores podem realizar quando solicitarem acesso.
Os pedidos são registados no Registo de Atividades do Azure, por isso pode monitorizar e auditar facilmente o acesso. A página just-in-time também ajuda você a identificar rapidamente VMs existentes que têm JIT habilitado e VMs onde JIT é recomendado.
Saiba mais sobre Azure Firewall.
Remediação com um único clique para melhorar sua postura de segurança (visualização)
A classificação de segurança é uma ferramenta que o ajuda a avaliar a sua postura de segurança de carga de trabalho. Revê as suas recomendações de segurança e classifica-as para que saiba que recomendações deve fazer primeiro. Isto ajuda-o a detetar as vulnerabilidades de segurança mais graves para classificar a investigação.
Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua pontuação segura, adicionamos um novo recurso que permite corrigir uma recomendação sobre uma grande quantidade de recursos em um único clique.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
Gerenciamento entre locatários
O Security Center suporta agora cenários de gestão entre inquilinos como parte do Azure Lighthouse. Desta forma, consegue obter visibilidade e gerir a postura de segurança de vários inquilinos no Centro de Segurança.
Saiba mais sobre experiências de gerenciamento entre locatários.
Julho de 2019
Atualizações das recomendações de rede
O Centro de Segurança do Azure (ASC) lançou novas recomendações de redes e melhorou algumas já existentes. Agora, ao utilizar o Centro de Segurança, está a garantir uma proteção de rede ainda maior para os seus recursos.
Junho de 2019
Proteção de rede adaptável - disponível em geral
Uma das maiores superfícies de ataque para cargas de trabalho em execução na cloud pública são as ligações de e para a Internet pública. Os nossos clientes têm dificuldade em saber quais as regras do Network Security Group (NSG) que devem estar implementadas para garantir que as cargas de trabalho do Azure só estejam disponíveis para os intervalos de origem necessários. Com esta funcionalidade, o Centro de Segurança aprende o tráfego de rede e os padrões de conectividade das cargas de trabalho do Azure e fornece recomendações de regras NSG para máquinas virtuais com acesso à Internet. Desta forma, os clientes podem configurar melhor as respetivas políticas de acesso à rede e limitar a sua exposição a ataques.