Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página fornece informações sobre recursos, correções e descontinuações com mais de seis meses. Para obter as atualizações mais recentes, leia O que há de novo no Defender for Cloud?.
February 2025
| Date | Category | Update |
|---|---|---|
| February 27 | Change | Exibição aprimorada do nome do recurso do AWS EC2 |
| February 27 | disponibilidade geral | Verificação de malware sob demanda no Microsoft Defender for Storage |
| February 27 | disponibilidade geral | Verificação de malware do Defender for Storage para blobs de até 50 GB |
| February 23 | Preview | Avaliação de vulnerabilidades independente do registo de contêineres e sem agente para contêineres em tempo de execução AKS (Pré-visualização) |
| February 23 | Preview | Painel de segurança de dados e IA (Visualização) |
| February 19 | Preview | Calculadora de Custos MDC (Pré-visualização) |
| February 19 | Preview | 31 Cobertura de normas regulatórias multicloud novas e aprimoradas |
Exibição aprimorada do nome do recurso do AWS EC2
27 de fevereiro de 2025
Data estimada para alteração: Março de 2025
Estamos aprimorando a forma como os nomes de recursos são mostrados para instâncias do AWS EC2 em nossa plataforma. If an EC2 instance has a "name" tag defined, the Resource Name field will now display the value of that tag. If no "name" tag is present, the Resource Name field will continue to show the instance ID as before. The Resource ID will still be available in the Resource ID field for reference.
O uso da tag "name" do EC2 permite identificar facilmente seus recursos com nomes personalizados e significativos, em vez de IDs. Isso torna mais rápido localizar e gerenciar instâncias específicas, reduzindo o tempo e o esforço gastos na pesquisa ou no cruzamento de detalhes de instâncias.
Verificação de malware sob demanda no Microsoft Defender for Storage
27 de fevereiro de 2025
A verificação de malware sob demanda no Microsoft Defender for Storage, agora no GA, permite a verificação de blobs existentes nas contas de Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas a partir da interface do usuário do portal do Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, playbooks de Automação e scripts do PowerShell. Esse recurso usa o Microsoft Defender Antivírus com as definições de malware mais recentes para cada verificação e fornece estimativa de custo inicial no portal do Azure antes da verificação.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Para obter mais informações, consulte Verificação de malware sob demanda.
Verificação de malware do Defender for Storage para blobs de até 50 GB
27 de fevereiro de 2025
A verificação de malware do Defender for Storage agora suporta blobs de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB digitalizados por mês. Para obter mais informações, consulte Controle de custos para verificação de malware ao carregar.
Avaliação de vulnerabilidades sem agente e independente do registo de contentores para contentores de execução AKS (Pré-visualização)
23 de fevereiro de 2025
Os planos Defender for Containers e Defender for Cloud Security Posture Management (CSPM) agora incluem uma avaliação de vulnerabilidade sem agente, independente do registo, para os contêineres em execução no AKS. Esse aprimoramento estende a cobertura de avaliação de vulnerabilidades para incluir a execução de contêineres com imagens de qualquer registro (não restrito aos registros suportados), além da verificação de complementos do Kubernetes e ferramentas de terceiros em execução em seus clusters AKS. Para habilitar esse recurso, verifique se a verificação de máquina sem agente está habilitada para sua assinatura nas configurações do ambiente do Defender for Cloud.
Painel de segurança de dados e IA (Visualização)
23 de fevereiro de 2025
O Defender for Cloud está a melhorar o painel de segurança de dados para incluir a segurança de IA com o novo painel de segurança de dados e IA em pré-visualização. O painel fornece uma plataforma centralizada para monitorar e gerenciar dados e recursos de IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de dados e IA incluem:
- Unified view: Gain a comprehensive view of all organizational data and AI resources.
- Data insights: Understand where your data is stored and the types of resources holding it.
- Protection coverage: Assess the protection coverage of your data and AI resources.
- Critical issues: Highlight resources that require immediate attention based on high-severity recommendations, alerts, and attack paths.
- Descoberta de dados confidenciais: localize e resuma recursos de dados confidenciais em seus ativos de nuvem e IA.
- AI workloads: Discover AI application footprints, including services, containers, data sets, and models.
Saiba mais sobre o painel de segurança de dados e IA.
Calculadora de Custos MDC (Pré-visualização)
Fevereiro 19, 2025
Temos o prazer de apresentar nossa nova Calculadora de Custos MDC para ajudá-lo a estimar facilmente os custos associados à proteção de seus ambientes de nuvem. Esta ferramenta é adaptada para lhe fornecer uma compreensão clara e precisa das suas despesas, garantindo que pode planear e orçamentar de forma eficaz.
Por que usar a calculadora de custos?
Nossa calculadora de custos simplifica o processo de estimativa de custos, permitindo que você defina o escopo de suas necessidades de proteção. Você seleciona os ambientes e planos que deseja habilitar e a calculadora preenche automaticamente os recursos faturáveis de cada plano, incluindo quaisquer descontos aplicáveis. Você tem uma visão abrangente de seus custos potenciais sem surpresas.
Key Features:
Scope Definition: Select the plans and environments that interest you. A calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente.
Ajustes automáticos e manuais: A ferramenta permite a coleta automática de dados e ajustes manuais. Você pode modificar a quantidade unitária e os níveis de desconto para ver como as alterações afetam o custo geral.
Estimativa de custo abrangente: A calculadora fornece uma estimativa para cada plano e um relatório de custo total. Você recebe um detalhamento detalhado dos custos, facilitando a compreensão e o gerenciamento de suas despesas.
Multicloud Support: Our solution works for all supported clouds, ensuring that you get accurate cost estimations regardless of your cloud provider.
Exportar e compartilhar: Depois de ter sua estimativa de custo, você pode facilmente exportá-la e compartilhá-la para planejamento e aprovações de orçamento.
31 Cobertura de normas regulatórias multicloud novas e aprimoradas
Fevereiro 19, 2025
Temos o prazer de anunciar o suporte aprimorado e expandido de mais de 31 estruturas regulatórias e de segurança no Defender for Cloud no Azure, AWS & GCP. Esse aprimoramento simplifica o caminho para alcançar e manter a conformidade, reduz o risco de violações de dados e ajuda a evitar multas e danos à reputação.
Os quadros novos e melhorados são os seguintes:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Regulamento Geral sobre a Proteção de Dados (RGPD) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controles CIS v8.1 | Azure, AWS, GCP |
| Fundamentos CIS GCP v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Quadro de Controlos de Segurança do Cliente SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificação do Modelo de Maturidade em Cibersegurança (CMMC) Nível 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canadá Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles de nuvem CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Política de Segurança dos Serviços de Informação da Justiça Penal v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Lei Geral de Proteção de Dados (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Lei Sarbanes-Oxley 2022 (SOX) | Azure, AWS |
| Estrutura de Garantia Cibernética NCSC (CAF) v3.2 | Azure, AWS, GCP |
Isso se junta às versões recentes do CIS Azure Kubernetes Service (AKS) v1.5, do CIS Google Kubernetes Engine (GKE) v1.6 e do CIS Amazon Elastic Kubernetes Service (EKS) v.15 de alguns meses atrás.
Para obter mais informações sobre a oferta de conformidade regulatória do Defender for Cloud, Saiba mais>
January 2025
| Date | Category | Update |
|---|---|---|
| January 30 | disponibilidade geral | Atualização dos critérios de verificação para registros de contêiner |
| January 29 | Change | Aprimoramentos para a avaliação de vulnerabilidades em contentores impulsionada pelo MDVM |
| January 27 | disponibilidade geral | Permissões adicionadas ao conector GCP para suportar plataformas de IA |
| January 20 | Change | Melhorias para a recomendação de Linhas de Base Linux potenciadas por GC |
Atualização dos critérios de verificação para registros de contêiner
Janeiro 30, 2025
We are updating one of the scan criteria for registry images in the preview recommendation for registry images across all clouds and external registries (Azure, AWS, GCP, Docker, JFrog).
What's Changing?
Atualmente, verificamos novamente as imagens por 90 dias após terem sido enviadas para um registro. Isto será agora alterado para analisar os últimos 30 dias.
Note
Não há alterações nas recomendações de GA relacionadas para avaliação de vulnerabilidade de contêiner (VA) em imagens do Registro.
Melhorias na avaliação de vulnerabilidades em contentores, suportadas pela tecnologia MDVM
Janeiro 29, 2025
Temos o prazer de anunciar melhorias em nossa cobertura de varredura de avaliação de vulnerabilidade de contêiner com as seguintes atualizações:
Linguagens de programação adicionais: Agora suportando PHP, Ruby e Rust.
Suporte estendido à linguagem Java: Inclui verificação de JARs explodidos.
Uso de memória melhorado: desempenho otimizado ao ler arquivos de imagem de contêiner grandes.
Permissões adicionadas ao conector GCP para suportar plataformas de IA
Janeiro 27, 2025
O conector GCP agora tem permissões adicionais para suportar a plataforma GCP AI (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Aprimoramentos para a recomendação Linux Baselines impulsionada por GC
Janeiro 20, 2025
Estamos aprimorando o recurso Baselines Linux (powered by GC) para melhorar sua precisão e cobertura. Durante o mês de fevereiro, você poderá notar alterações, como nomes de regras atualizados e regras adicionais. Estas melhorias destinam-se a tornar a avaliação das bases de referência mais precisa e atualizada. For more information about the changes, please refer to the relevant blog
Algumas das alterações podem incluir uma "pré-visualização pública" adicional. Esta atualização é benéfica para si e queremos mantê-lo informado. Se preferir, pode optar por não receber esta recomendação, isentando-a do seu recurso ou removendo a extensão GC.
December 2024
| Date | Category | Update |
|---|---|---|
| December 31 | disponibilidade geral | Alterações no intervalo de verificação de conectores de nuvem existentes |
| December 22 | disponibilidade geral | A atualização da versão do cliente Microsoft Defender for Endpoint é necessária para receber a experiência de monitoramento de integridade de arquivos (FIM) |
| December 17 | Preview | Integre a CLI do Defender for Cloud com as ferramentas populares de CI/CD |
| December 10 | disponibilidade geral | Experiência de configuração do Defender for Cloud |
| December 10 | disponibilidade geral | Opções de intervalo revisadas para a verificação do Defender for Cloud de um ambiente de nuvem |
| December 17 | disponibilidade geral | Os recursos de verificação de sensibilidade agora incluem compartilhamentos de arquivos do Azure |
Alterações no intervalo de verificação de conectores de nuvem existentes
31 de dezembro de 2024
No início deste mês, uma atualização foi publicada sobre as opções de intervalo revisadas do Defender for Cloud para varredura de um ambiente de nuvem. A configuração de intervalo de verificação determina a frequência com que os serviços de descoberta do Defender for Cloud verificam seus recursos de nuvem. Essa alteração garante um processo de verificação mais equilibrado, otimizando o desempenho e minimizando o risco de atingir os limites da API.
As configurações de intervalo de varredura para conectores de nuvem existentes da AWS e GCP serão atualizadas para garantir a capacidade do Defender for Cloud de verificar seus ambientes de nuvem.
Serão feitos os seguintes ajustamentos:
- Os intervalos atualmente definidos entre 1 e 3 horas serão atualizados para 4 horas.
- Os intervalos definidos para 5 horas serão atualizados para 6 horas.
- Os intervalos definidos entre 7 e 11 horas serão atualizados para 12 horas.
- Intervalos de 13 horas ou mais serão atualizados para 24 horas.
Se preferir um intervalo de verificação diferente, você pode ajustar os conectores de nuvem usando a página de configurações de ambiente. Essas alterações serão aplicadas automaticamente a todos os clientes no início de fevereiro de 2025, e nenhuma ação adicional é necessária.
Os recursos de verificação de sensibilidade agora incluem compartilhamentos de arquivos do Azure
17 de dezembro de 2024
Os recursos de verificação de sensibilidade do CSPM (Security Posture Management) do Defender for Cloud agora incluem partilhas de ficheiros do Azure em GA, além de contêineres de blobs.
Antes dessa atualização, habilitar o plano Defender CSPM em uma assinatura verificaria automaticamente os contêineres de blob nas contas de armazenamento em busca de dados confidenciais. Com essa atualização, o recurso de verificação de sensibilidade do Defender for CSPM agora inclui compartilhamentos de arquivos nessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção de contas de armazenamento confidenciais, fornecendo uma análise mais abrangente de riscos potenciais.
Learn more about sensitivity scanning.
Integre a CLI do Defender for Cloud com as ferramentas populares de CI/CD
A integração de diagnóstico da CLI do Defender for Cloud com ferramentas populares de CI/CD no Microsoft Defender for Cloud está agora disponível em pré-visualização pública. A CLI agora pode ser incorporada em pipelines de CI/CD para verificar e identificar vulnerabilidades de segurança no código-fonte em contêineres. Esse recurso ajuda as equipes de desenvolvimento a detetar e abordar vulnerabilidades de código durante a execução do pipeline. Ele requer autenticação no Microsoft Defender for Cloud e modificações no script de pipeline. Os resultados da verificação serão carregados no Microsoft Defender for Cloud, permitindo que as equipes de segurança os visualizem e correlacionem com contêineres no registro de contêineres. Esta solução fornece informações contínuas e automatizadas para agilizar a deteção e resposta a riscos, garantindo segurança sem interromper os fluxos de trabalho.
Use cases:
- Verificação de pipeline dentro de ferramentas de CI/CD: monitore com segurança todos os pipelines que invocam a CLI.
- Deteção precoce de vulnerabilidades: os resultados são publicados no pipeline e enviados para o Microsoft Defender for Cloud.
- Informações de segurança contínuas: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem prejudicar a produtividade.
Para obter mais informações, consulte Integrar a CLI do Defender for Cloud com ferramentas populares de CI/CD.
Experiência de configuração do Defender for Cloud
10 de dezembro de 2024
A experiência de instalação permite que você inicie suas etapas iniciais com o Microsoft Defender for Cloud conectando ambientes de nuvem, como infraestrutura de nuvem, repositórios de código e registros de contêineres externos.
Você é guiado através da configuração do seu ambiente de nuvem, para proteger seus ativos com planos de segurança avançados, executar sem esforço ações rápidas para aumentar a cobertura de segurança em escala, estar ciente de problemas de conectividade e ser notificado sobre novos recursos de segurança. Você pode navegar até a nova experiência no menu do Defender for Cloud selecionando Configuração.
Opções de intervalo revisadas para a verificação do Defender for Cloud de um ambiente de nuvem
10 de dezembro de 2024
As opções de intervalo de verificação para conectores de nuvem associados à AWS, GCP, Jfrog e DockerHub foram revisadas. O recurso de intervalo de varredura permite controlar a frequência com que o Defender for Cloud inicia uma verificação do ambiente de nuvem. Você pode definir o intervalo de verificação para 4, 6, 12 ou 24 horas, ao adicionar ou editar um conector de nuvem. O intervalo de verificação padrão para novos conectores continua a ser de 12 horas.
A atualização da versão do cliente Microsoft Defender for Endpoint é necessária para receber a experiência de monitoramento de integridade de arquivos (FIM)
June, 2025
A partir de junho de 2025, o File Integrity Monitoring (FIM) exigirá uma versão mínima do cliente Defender for Endpoint (MDE). Certifique-se de que você esteja no mínimo nas seguintes versões de cliente para continuar se beneficiando da experiência FIM no Microsoft Defender for Cloud: para Windows: 10.8760, para Linux: 30.124082. Learn more
November 2024
Os recursos de verificação de sensibilidade agora incluem compartilhamentos de arquivos do Azure (Visualização)
28 de novembro de 2024
Os recursos de verificação de sensibilidade CSPM (Security Posture Management) do Defender for Cloud agora incluem compartilhamentos de arquivos do Azure (em visualização), além de contêineres de blob.
Antes dessa atualização, habilitar o plano Defender CSPM em uma assinatura verificaria automaticamente os contêineres de blob nas contas de armazenamento em busca de dados confidenciais. Com essa atualização, o recurso de verificação de sensibilidade do Defender for CSPM agora inclui compartilhamentos de arquivos nessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção de contas de armazenamento confidenciais, fornecendo uma análise mais abrangente de riscos potenciais.
Learn more about sensitivity scanning.
Alterações no consentimento da etiqueta de sensibilidade
26 de novembro de 2024
Você não precisa mais selecionar o botão de consentimento dedicado na seção "Proteção de informações" na página "Rótulos", para se beneficiar de tipos de informações personalizados e rótulos de sensibilidade configurados no portal Microsoft 365 Defender ou no portal Microsoft Purview.
Com essa alteração, todos os tipos de informações personalizadas e rótulos de sensibilidade são importados automaticamente para o portal do Microsoft Defender for Cloud.
Saiba mais sobre as configurações de sensibilidade de dados.
Alterações no rótulo de sensibilidade
26 de novembro de 2024
Até recentemente, o Defender for Cloud importava todos os rótulos de sensibilidade do portal do Microsoft 365 Defender que atendiam às duas condições a seguir:
- Etiquetas de sensibilidade que têm o seu escopo definido como "Itens -> Arquivos", ou "Itens -> E-mails", na secção "Definir o escopo da sua etiqueta" na secção Proteção de Informação.
- O rótulo de sensibilidade tem uma regra de rotulagem automática configurada.
A partir de 26 de novembro de 2024, os nomes dos âmbitos de rótulos de sensibilidade na interface do utilizador (UI) foram atualizados no portal do Microsoft 365 Defender e no portal do Microsoft Purview. Agora, o Defender for Cloud só importará rótulos de sensibilidade com o escopo "Arquivos e outros ativos de dados" aplicado a eles. O Defender for Cloud não importa mais rótulos com o escopo "E-mails" aplicado a eles.
Note
Os rótulos que foram configurados com "Itens -> Arquivos" antes dessa alteração ocorrer são migrados automaticamente para o novo escopo "Arquivos e outros ativos de dados".
Saiba mais sobre como configurar rótulos de sensibilidade.
Verificação de malware do Defender for Storage para blobs de até 50 GB (Visualização)
25 de novembro de 2024
Data prevista para alteração: 1 de dezembro de 2024
A partir de 1º de dezembro de 2024, a verificação de malware do Defender for Storage suportará blobs de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB digitalizados por mês. Para obter mais informações, consulte Controle de custos para verificação de malware ao carregar.
Versões atualizadas dos padrões CIS para ambientes Kubernetes gerenciados e novas recomendações
19 de novembro de 2024
O painel de conformidade regulatória do Defender for Cloud agora oferece versões atualizadas dos padrões do Center for Internet Security (CIS) para avaliar a postura de segurança de ambientes Kubernetes gerenciados.
No painel, você pode atribuir os seguintes padrões aos seus recursos do Kubernetes AWS/EKS/GKE:
- Serviço de Kubernetes do Azure CIS (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Para garantir a melhor profundidade de cobertura possível para esses padrões, enriquecemos nossa cobertura lançando também 79 novas recomendações centradas no Kubernetes.
Para usar essas novas recomendações, atribua os padrões listados acima ou crie um padrão personalizado e inclua uma ou mais das novas avaliações nele.
Visualização pública de eventos do processo de nuvem do Kubernetes em caça avançada
Estamos a anunciar o lançamento prévio dos eventos de processos na nuvem do Kubernetes na pesquisa avançada. Essa poderosa integração fornece informações detalhadas sobre eventos de processo do Kubernetes que ocorrem em seus ambientes multicloud. Você pode usá-lo para descobrir ameaças que podem ser observadas por meio de detalhes do processo, como processos mal-intencionados invocados em sua infraestrutura de nuvem. For more information, see CloudProcessEvents.
Descontinuação do recurso Bring your own License (BYOL) no gerenciamento de vulnerabilidades
19 de novembro de 2024
Data estimada para alteração:
3 de fevereiro de 2025: O recurso não estará mais disponível para integração de novas máquinas e assinaturas.
1º de maio de 2025: O recurso será totalmente preterido e não estará mais disponível.
Como parte de nossos esforços para melhorar a experiência de segurança do Defender for Cloud, estamos simplificando nossas soluções de avaliação de vulnerabilidade. Estamos removendo o recurso "Traga sua própria licença" no Defender for Cloud. Agora irá utilizar os conectores do Microsoft Security Exposure Management para obter uma solução mais simples, integrada e completa.
Recomendamos que você faça a transição para a nova solução de conector no Microsoft Security Exposure Management. A nossa equipa está aqui para o apoiar nesta transição.
Para obter mais informações sobre como usar os conectores, consulte Visão geral da conexão de fontes de dados no Microsoft Security Exposure Management - Microsoft Security Exposure Management.
Verificação de código sem agente no Microsoft Defender for Cloud (visualização)
19 de novembro de 2024
A verificação de código sem agente no Microsoft Defender for Cloud agora está disponível para visualização pública. Ele oferece segurança rápida e escalável para todos os repositórios em organizações de DevOps do Azure com um conector. Esta solução ajuda as equipas de segurança a encontrar e corrigir vulnerabilidades em configurações de código e infraestrutura como código (IaC) em ambientes de DevOps do Azure. Ele não requer agentes, alterações em pipelines ou interrupções nos fluxos de trabalho do desenvolvedor, simplificando a configuração e a manutenção. Ele funciona independentemente de pipelines de integração contínua e implantação contínua (CI/CD). A solução fornece insights contínuos e automatizados para acelerar a deteção e resposta a riscos, garantindo segurança sem interromper fluxos de trabalho.
Use cases:
- Organization-wide scanning: You can securely monitor all repositories in Azure DevOps organizations with one connector.
- Deteção precoce de vulnerabilidades: encontre rapidamente o código e os riscos de IAC para um gerenciamento proativo de riscos.
- Informações contínuas sobre segurança: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem afetar a produtividade.
Para obter mais informações, consulte Verificação de código sem agente no Microsoft Defender for Cloud.
Verificação de malware sob demanda no Microsoft Defender for Storage (Visualização)
19 de novembro de 2024
A verificação de malware sob demanda no Microsoft Defender for Storage, agora em visualização pública, permite a verificação de blobs existentes em contas de Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas a partir da interface do usuário do portal do Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, playbooks de Automação e scripts do PowerShell. Esse recurso usa o Microsoft Defender Antivírus com as definições de malware mais recentes para cada verificação e fornece estimativa de custo inicial no portal do Azure antes da verificação.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Para obter mais informações, consulte Verificação de malware sob demanda.
Suporte ao registro de contêiner JFrog Artifactory pelo Defender for Containers (Visualização)
18 de novembro de 2024
Este recurso expande a cobertura do Microsoft Defender for Containers para incluir repositórios externos, como o JFrog Artifactory. As imagens de contêiner do JFrog Artifactory são verificadas usando o Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar ameaças à segurança e mitigar possíveis riscos à segurança.
O gerenciamento de postura de segurança de IA agora está disponível em geral (GA)
18 de novembro de 2024
Os recursos de gerenciamento de postura de segurança de IA do Defender for Cloud agora estão geralmente disponíveis (GA).
O Defender for Cloud reduz o risco das cargas de trabalho de IA em diferentes nuvens ao fazer:
Descobrindo o Guia de Materiais de IA Generativa (AI BOM), que inclui componentes de aplicativos, dados e artefatos de IA, desde o código até a nuvem.
Fortalecer a postura de segurança de aplicativos de IA generativa com recomendações integradas e explorando e remediando riscos de segurança.
Usando a análise de caminho de ataque para identificar e remediar riscos.
Saiba mais sobre a gestão da postura de segurança da IA.
Proteção de ativos críticos no Microsoft Defender for Cloud
18 de novembro de 2024
Hoje, temos o prazer de anunciar a disponibilidade geral da proteção de ativos críticos no Microsoft Defender for Cloud. Esse recurso permite que os administradores de segurança marquem os recursos da "joia da coroa" que são mais críticos para suas organizações, permitindo que o Defender for Cloud forneça o mais alto nível de proteção e priorize os problemas de segurança nesses ativos acima de todos os outros. Saiba mais sobre a proteção de ativos críticos.
Juntamente com a versão de disponibilidade geral, também estamos expandindo o suporte de marcação para recursos Kubernetes e identidades não humanas.
Proteção aprimorada de ativos críticos para contêineres
18 de novembro de 2024
A proteção de ativos críticos é estendida para oferecer suporte a casos de uso adicionais para contêineres.
Os usuários agora podem criar regras personalizadas que marcam os ativos gerenciados pelo Kubernetes (cargas de trabalho, contêineres, etc.) como críticos com base no namespace do ativo Kubernetes e/ou no rótulo do ativo Kubernetes.
Assim como outros casos de uso críticos de proteção de ativos, o Defender for Cloud leva em consideração a criticidade dos ativos para priorização de riscos, análise de caminhos de ataque e explorador de segurança.
Aprimoramentos para detetar e responder a ameaças de contêiner
18 de novembro de 2024
O Defender for Cloud fornece um conjunto de novos recursos para capacitar as equipes SOC a lidar com ameaças de contêineres em ambientes nativos da nuvem com maior velocidade e precisão. Esses aprimoramentos incluem Análise de Ameaças, recursos do GoHunt, resposta guiada do Microsoft Security Copilot e ações de resposta nativas da nuvem para pods do Kubernetes.
Apresentando ações de resposta nativas na nuvem para pods do Kubernetes (Pré-visualização)
O Defender for Cloud agora oferece ações de resposta multicloud para pods Kubernetes, acessíveis exclusivamente a partir do portal Defender XDR. Esses recursos melhoram a resposta a incidentes para clusters AKS, EKS e GKE.
Seguem-se novas ações de resposta:
Network Isolation - Instantly block all traffic to a pod, preventing lateral movement and data exfiltration. Requer a configuração de política de rede no cluster Kubernetes.
Pod Termination - Quickly terminate suspicious pods, stopping malicious activity without disrupting the broader application.
Essas ações capacitam as equipes de SOC a conter ameaças de forma eficaz em ambientes de nuvem.
Relatório de análise de ameaças para contêineres
Estamos introduzindo um relatório dedicado de Análise de Ameaças, projetado para fornecer visibilidade abrangente de ameaças direcionadas a ambientes em contêineres. Este relatório equipa as equipes de SOC com insights para detetar e responder aos padrões de ataque mais recentes em clusters AKS, EKS e GKE.
Key Highlights:
- Análise detalhada das principais ameaças e técnicas de ataque associadas em ambientes Kubernetes.
- Recomendações acionáveis para fortalecer sua postura de segurança nativa da nuvem e mitigar riscos emergentes.
GoHunt for Kubernetes pods & Recursos do Azure
O GoHunt agora estende as suas capacidades de caçadas para incluir pods do Kubernetes e recursos do Azure, no portal Defender XDR. Esse recurso aprimora a caça proativa a ameaças, permitindo que os analistas SOC conduzam investigações aprofundadas em cargas de trabalho nativas da nuvem.
Key Features:
- Recursos avançados de consulta para detetar anomalias em pods do Kubernetes e recursos do Azure, oferecendo um contexto mais rico para análise de ameaças.
- Integração perfeita com entidades Kubernetes para caça e investigação eficientes de ameaças.
Resposta guiada do Copiloto de Segurança para Kubernetes Pods
Apresentando a Resposta Guiada para pods Kubernetes, um recurso desenvolvido pelo Security Copilot. Esse novo recurso fornece orientação passo a passo em tempo real, ajudando as equipes de SOC a responder às ameaças de contêiner de forma rápida e eficaz.
Key Benefits:
- Manuais de resposta contextual adaptados a cenários comuns de ataque do Kubernetes.
- Suporte especializado e em tempo real do Security Copilot, preenchendo a lacuna de conhecimento e permitindo uma resolução mais rápida.
Integração Nativa do Gestão de Postura de Segurança da API no plano Defender CSPM agora em versão de pré-visualização pública
15 de novembro de 2024
Os recursos de gerenciamento de postura de segurança (Visualização) da API agora estão incluídos no plano CSPM do Defender e podem ser habilitados por meio de extensões dentro do plano na página de configurações do ambiente. Para obter mais informações, consulte Melhorar sua postura de segurança da API (Visualização).
Proteção de contentor melhorada com avaliação de vulnerabilidades e detecção de malware para nós AKS (Pré-visualização)
13 de novembro de 2024
O Defender for Cloud agora fornece avaliação de vulnerabilidades e deteção de malware para os nós no Serviço de Kubernetes do Azure (AKS) e clarifica aos clientes a sua parte na responsabilidade de segurança partilhada que têm com o fornecedor de nuvem gerida.
O fornecimento de proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço Kubernetes gerenciado.
Para receber os novos recursos, você precisa habilitar a opção de verificação sem agente para máquinas no plano Defender CSPM, Defender for Containers ou Defender for Servers P2 em sua assinatura.
Vulnerability Assessment
Uma nova recomendação está agora disponível no portal do Azure: AKS nodes should have vulnerability findings resolved. Por meio dessa recomendação, agora você pode revisar e corrigir vulnerabilidades e CVEs encontradas nos nós do Serviço Kubernetes do Azure (AKS).
Malware detection
Novos alertas de segurança são acionados quando o recurso de deteção de malware sem agente deteta malware nos nós AKS.
A deteção de malware sem agente usa o mecanismo antimalware Microsoft Defender Antivirus para verificar e detetar arquivos mal-intencionados. Quando as ameaças são detetadas, os alertas de segurança são direcionados para o Defender for Cloud e o Defender XDR, onde podem ser investigados e corrigidos.
Important
A deteção de malware para nodos AKS está disponível apenas para ambientes ativados para o Defender para Containers ou Defender para Servers P2.
Documentação de alerta e ferramenta de simulação aprimorada do Kubernetes (K8s)
7 de novembro de 2024
Key features
- Documentação de alerta baseada em cenários: os alertas do K8s agora são documentados com base em cenários do mundo real, fornecendo orientações mais claras sobre ameaças potenciais e ações recomendadas.
- Integração com o Microsoft Defender for Endpoint (MDE): os alertas são enriquecidos com contexto adicional e inteligência de ameaças do MDE, melhorando sua capacidade de responder de forma eficaz.
- Nova ferramenta de simulação: Uma poderosa ferramenta de simulação está disponível para testar sua postura de segurança, simulando vários cenários de ataque e gerando alertas correspondentes.
Benefits
- Melhor compreensão de alertas: A documentação baseada em cenários fornece uma compreensão mais intuitiva dos alertas do K8s.
- Resposta aprimorada a ameaças: os alertas são enriquecidos com contexto valioso, permitindo respostas mais rápidas e precisas.
- Testes de segurança proativos: a nova ferramenta de simulação permite testar suas defesas de segurança e identificar possíveis vulnerabilidades antes que elas sejam exploradas.
Suporte aprimorado para classificação de dados confidenciais da API
6 de novembro de 2024
O Microsoft Defender para a Cloud estende a capacidade de classificação de dados confidenciais para a segurança das APIs ao caminho da URL da API e seus parâmetros de consulta, juntamente com as solicitações e respostas da API, incluindo a origem das informações confidenciais encontradas nas propriedades da API. This information will be available in the Attack Path Analysis experience, the Cloud Security Explorer's Additional Details page when API Management operations with sensitive data are selected, and on the API Security Dashboard under the Workload Protections within API collection details page, with a new side context menu that provides detailed insights into sensitive data found, enabling security teams efficiently locate and mitigate data exposure risks.
Note
Essa alteração incluirá uma implantação única para clientes existentes do Defender for APIs e do Defender CSPM.
Novo suporte para mapear pontos de extremidade da API de Gerenciamento de API do Azure para computação de back-end
6 de novembro de 2024
A postura de segurança da API do Defender for Cloud agora oferece suporte ao mapeamento de endpoints de API publicados através do Gateway de Gerenciamento de API do Azure para recursos de computação de back-end, como máquinas virtuais, no Explorador de Segurança na Nuvem do Gerenciamento de Postura de Segurança na Nuvem do Defender (Defender CSPM). Essa visibilidade ajuda a identificar o roteamento de tráfego de API para destinos de computação em nuvem de back-end, permitindo que você detete e resolva os riscos de exposição associados aos pontos de extremidade de API e seus recursos de back-end conectados.
Suporte aprimorado de segurança de API para implantações multirregionais do Gerenciamento de API do Azure e gerenciamento de revisões de API
6 de novembro de 2024
A cobertura de segurança da API no Defender for Cloud agora terá suporte total para implantações multirregionais do Gerenciamento de API do Azure, incluindo postura de segurança total e suporte à deteção de ameaças para regiões primárias e secundárias
As APIs de integração e desintegração para o Defender for APIs agora serão gerenciadas no nível da API de Gerenciamento de API do Azure. Todas as revisões associadas ao Gerenciamento de API do Azure serão incluídas automaticamente no processo, eliminando a necessidade de gerenciar a integração e a desintegração para cada revisão de API individualmente.
Essa alteração inclui uma distribuição única para clientes existentes do Defender for APIs.
Rollout Details:
- O lançamento ocorrerá durante a semana de 6 de novembro para os clientes existentes do Defender for APIs.
- Se a revisão 'atual' de uma API de Gerenciamento de API do Azure já estiver integrada ao Defender for APIs, todas as revisões associadas a essa API também serão automaticamente integradas ao Defender for APIs.
- Se a revisão 'atual' de uma API de Gerenciamento de API do Azure não estiver integrada ao Defender for APIs, todas as revisões de API associadas que foram integradas ao Defender for APIs serão desintegradas.
October 2024
A experiência de migração do MMA já está disponível
Outubro 28, 2024
Agora você pode garantir que todos os seus ambientes estejam totalmente preparados para a descontinuação do agente pós-Log Analytics (MMA) prevista para o final de novembro de 2024.
O Defender for Cloud adicionou uma nova experiência que permite que você tome medidas em escala para todos os seus ambientes afetados:
- Faltam pré-requisitos para obter a cobertura de segurança total oferecida pelo Defender for Servers Plano 2.
- Isso está conectado ao Defender for Servers Plan 2 usando a abordagem de integração herdada por meio do espaço de trabalho do Log Analytics.
- Que usa a versão antiga do File Integrity Monitoring (FIM) com o agente do Log Analytics (MMA) precisa migrar para a nova versão melhorada do FIM com o Defender for Endpoint (MDE).
Saiba como usar a nova experiência de migração do MMA.
As descobertas de segurança para repositórios do GitHub sem o GitHub Advanced Security estão agora disponíveis para o público.
Outubro 21, 2024
A capacidade de receber descobertas de segurança para configurações incorretas de infraestrutura como código (IaC), vulnerabilidades de contêiner e fraquezas de código para repositórios do GitHub sem o GitHub Advanced Security agora está disponível em geral.
Note that secret scanning, code scanning using GitHub CodeQL, and dependency scanning still require GitHub Advanced Scanning.
Para saber mais sobre as licenças necessárias, consulte a página de suporte do DevOps. Para saber como integrar seu ambiente GitHub ao Defender for Cloud, siga o guia de integração do GitHub. Para saber como configurar o Microsoft Security DevOps GitHub Action, consulte nossa documentação do GitHub Action.
Descontinuação de três padrões de conformidade
14 de outubro de 2024
Data prevista para alteração: 17 de novembro de 2024
Três normas de conformidade estão sendo removidas do produto:
- SWIFT CSP-CSCF v2020 (para Azure) - Foi substituído pela versão v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 e v1.3.0 - Temos duas versões mais recentes disponíveis (v1.4.0 e v2.0.0)
Saiba mais sobre os padrões de conformidade disponíveis no Defender for Cloud em Padrões de conformidade disponíveis.
Descontinuação de três padrões do Defender for Cloud
8 de outubro de 2024
Data prevista para alteração: 17 de novembro de 2024
Para simplificar o gerenciamento do Defender for Cloud com contas da AWS e projetos GCP, estamos removendo os três padrões do Defender for Cloud a seguir:
- For AWS - AWS CSPM
- For GCP - GCP CSPM and GCP Default
O padrão padrão, Microsoft Cloud Security Benchmark (MCSB), agora contém todas as avaliações que eram exclusivas para esses padrões.
Deteção de deriva binária lançada com disponibilidade geral
9 de outubro de 2024
A deteção de desvio binário agora é lançada como GA no plano Defender for Container. Observe que a deteção de deriva binária agora funciona em todas as versões do AKS.
Recomendações atualizadas de tempo de execução de contêineres (visualização)
6 de outubro de 2024
As recomendações de visualização para "Contêineres executados na AWS/Azure/GCP devem ter descobertas de vulnerabilidades resolvidas" são atualizadas para agrupar todos os contêineres que fazem parte da mesma carga de trabalho em uma única recomendação, reduzindo duplicações e evitando flutuações devido a contêineres novos e encerrados.
A partir de 6 de outubro de 2024, os seguintes IDs de avaliação são substituídos por estas recomendações:
| Recommendation | ID da avaliação anterior | Novo ID de avaliação |
|---|---|---|
| -- | -- | -- |
| Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Os contêineres executados na AWS devem ter as descobertas de vulnerabilidade resolvidas | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Os contêineres em execução no GCP devem ter as descobertas de vulnerabilidade resolvidas | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Se você estiver recuperando relatórios de vulnerabilidade dessas recomendações via API, atualize a chamada de API com a nova ID de avaliação.
Informações de identidade e acesso do Kubernetes no gráfico de segurança (pré-visualização)
6 de outubro de 2024
As informações de Identidade e Acesso do Kubernetes são adicionadas ao gráfico de segurança, incluindo nós que representam todas as entidades relacionadas ao RBAC (Controle de Acesso Baseado em Função) do Kubernetes (contas de serviço, funções, associações de função, etc.) e bordas que representam as permissões entre objetos do Kubernetes. Os clientes agora podem consultar o gráfico de segurança do seu RBAC no Kubernetes e os relacionamentos relacionados entre entidades do Kubernetes (Pode autenticar-se como, Pode representar-se como, Concede função, Acesso definido por, Concede acesso a, Tem permissão para, etc.)
Caminhos de ataque do Kubernetes baseados em informações de Identidade e Acesso (pré-visualização)
6 de outubro de 2024
Utilizando os dados RBAC do Kubernetes no gráfico de segurança, o Defender for Cloud agora deteta movimentos laterais no Kubernetes, do Kubernetes para a Cloud, e movimentos internos dentro do Kubernetes, além de informar sobre outros percursos de ataque em que invasores podem explorar as autorizações do Kubernetes e da Cloud para realizar movimentações laterais para, de e dentro dos clusters do Kubernetes.
Análise de caminho de ataque aprimorada para contêineres
6 de outubro de 2024
O novo mecanismo de análise de caminho de ataque lançado em novembro passado agora também suporta casos de uso de contêineres, detetando dinamicamente novos tipos de caminhos de ataque em ambientes de nuvem com base nos dados adicionados ao gráfico. Agora podemos encontrar mais caminhos de ataque para contêineres e detetar padrões de ataque mais complexos e sofisticados usados por invasores para se infiltrar em ambientes de nuvem e Kubernetes.
Descoberta completa de imagens de contêiner em registros suportados
6 de outubro de 2024
O Defender for Cloud agora coleta dados de inventário para todas as imagens de contêiner em registros suportados, fornecendo visibilidade total dentro do gráfico de segurança para todas as imagens em seus ambientes de nuvem, incluindo imagens que atualmente não têm nenhuma recomendação de postura.
Os recursos de consulta por meio do Cloud Security Explorer foram aprimorados para que os usuários possam agora pesquisar imagens de contêiner com base em seus metadados (resumo, repositório, sistema operacional, tag e etc.)
Inventário de software de contêineres com o Cloud Security Explorer
6 de outubro de 2024
Os clientes agora podem obter uma lista de software instalado em seus contêineres e imagens de contêiner por meio do Cloud Security Explorer. Essa lista também pode ser usada para obter rapidamente outras informações sobre o ambiente do cliente, como encontrar todos os contêineres e imagens de contêiner com software afetado por uma vulnerabilidade de dia zero, mesmo antes de uma CVE ser publicada.
September 2024
Melhorias na experiência do explorador de segurança na nuvem
Setembro 22, 2024
Data prevista para alteração: outubro de 2024
O Cloud Security Explorer está definido para melhorar o desempenho e a funcionalidade de grade, fornecer mais enriquecimento de dados em cada ativo de nuvem, melhorar as categorias de pesquisa e melhorar o relatório de exportação CSV com mais informações sobre os ativos de nuvem exportados.
Disponibilidade geral do monitoramento de integridade de arquivos com base no Microsoft Defender for Endpoint
18 de setembro de 2024
A nova versão do Monitoramento de Integridade de Ficheiros, baseada no Microsoft Defender para Endpoint, agora está disponível ao público como parte do plano Defender para Servidores Plano 2. A FIM permite-lhe:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detetando alterações suspeitas no conteúdo de arquivos.
Esta experiência de FIM aprimorada substitui a atual, programada para descontinuação, em paralelo à desativação do Log Analytics Agent (MMA). A experiência da FIM no MMA permanecerá apoiada até o final de novembro de 2024.
Com esta versão, uma experiência integrada no produto é disponibilizada para permitir que o utilizador migre a sua configuração FIM através do MMA para a nova versão de FIM no Defender for Endpoint.
Para obter informações sobre como habilitar o FIM sobre o Defender for Endpoint, consulte File Integrity Monitoring using Microsoft Defender for Endpoint. Para obter informações sobre como desativar versões anteriores, consulte Migrar o Monitorização de Integridade de Ficheiros de Versões Anteriores.
A experiência de migração do FIM está disponível no Defender for Cloud
18 de setembro de 2024
É lançada uma experiência no produto para permitir que o utilizador migre a sua configuração FIM através de MMA para a nova versão de FIM no Defender for Endpoint. Com esta experiência você pode:
- Revise o ambiente afetado com a versão anterior do FIM sobre MMA habilitada e a migração necessária.
- Exporte suas regras FIM atuais da experiência baseada em MMA e resida em espaços de trabalho
- Migre para assinaturas com P2 ativado com o novo FIM em cima do MDE.
To use the migration experience, navigate to the Environment settings pane and select the MMA migration button in the upper row.
Desativação do recurso de provisionamento automático do MMA
18 de setembro de 2024 Como parte da desativação do agente MMA, o recurso de provisionamento automático que fornece a instalação e configuração do agente para clientes MDC também será descontinuado em duas fases.
Até o final de setembro de 2024, o provisionamento automático do MMA será desativado para clientes que não estão mais usando o recurso, bem como para assinaturas recém-criadas. Após o final de setembro, o recurso não poderá mais ser reativado nessas assinaturas.
Final de novembro de 2024- o provisionamento automático do MMA será desativado em assinaturas que ainda não o tenham desativado. A partir desse ponto, não será mais possível habilitar o recurso em assinaturas existentes.
Integração com o Power BI
15 de setembro de 2024
O Defender for Cloud agora pode ser integrado ao Power BI. Essa integração permite que você crie relatórios e painéis personalizados usando os dados do Defender for Cloud. Você pode usar o Power BI para visualizar e analisar sua postura de segurança, conformidade e recomendações de segurança.
Saiba mais sobre a nova integração com o Power BI.
Atualização para os requisitos de rede multicloud do CSPM
11 de setembro de 2024
Data prevista para alteração: outubro de 2024
A partir de outubro de 2024, estamos adicionando mais endereços IP aos nossos serviços de descoberta multicloud para acomodar melhorias e garantir uma experiência mais eficiente para todos os usuários.
To ensure uninterrupted access from our services, you should update your IP allowlist with the new ranges provided here. Você deve fazer os ajustes necessários nas configurações de firewall, grupos de segurança ou quaisquer outras configurações que possam ser aplicáveis ao seu ambiente. A lista é suficiente para a funcionalidade completa da oferta básica (gratuita) do CSPM.
Descontinuação da funcionalidade Defender for Servers
9 de setembro de 2024
Os controles de aplicativo adaptáveis e o endurecimento adaptativo de rede agora estão preteridos.
Estrutura Nacional de Segurança Espanhola (Esquema Nacional de Seguridad (ENS)) adicionada ao painel de conformidade regulamentar do Azure
9 de setembro de 2024
As organizações que desejam verificar a conformidade de seus ambientes do Azure com o padrão ENS agora podem fazê-lo usando o Defender for Cloud.
A norma ENS aplica-se a todo o sector público em Espanha, bem como aos fornecedores que colaboram com a Administração. Estabelece princípios, requisitos e medidas de segurança básicos para proteger as informações e os serviços tratados eletronicamente. O objetivo é garantir o acesso, a confidencialidade, a integridade, a rastreabilidade, a autenticidade, a disponibilidade e a preservação dos dados.
Confira a lista completa de padrões de conformidade suportados.
Corrigir atualizações do sistema e recomendações de patches em suas máquinas
8 de setembro de 2024
Agora você pode corrigir atualizações do sistema e recomendações de patches em suas máquinas habilitadas para Azure Arc e VMs do Azure. As atualizações e patches do sistema são cruciais para manter a segurança e a saúde das suas máquinas. As atualizações geralmente contêm patches de segurança para vulnerabilidades que, se não forem corrigidas, podem ser exploradas por invasores.
As informações sobre atualizações de máquina ausentes agora são coletadas usando o Azure Update Manager.
Para manter a segurança de suas máquinas para atualizações e patches do sistema, você precisará ativar as configurações de atualizações de avaliação periódica em suas máquinas.
Saiba como corrigir atualizações do sistema e recomendações de patches em suas máquinas.
A integração do ServiceNow agora inclui o módulo de conformidade de configuração
4 de setembro de 2024
A integração do plano CSPM do Defender for Cloud com o ServiceNow agora inclui o módulo de Conformidade de Configuração do ServiceNow. Esse recurso permite que você identifique, priorize e corrija problemas de configuração em seus ativos de nuvem, reduzindo os riscos de segurança e melhorando sua postura geral de conformidade por meio de fluxos de trabalho automatizados e insights em tempo real.
Saiba mais sobre a integração do ServiceNow com o Defender for Cloud.
O plano de proteção de armazenamento por transação do Defender for Storage (clássico) não está disponível para novas assinaturas
4 de setembro de 2024
Data estimada para alteração: 5 de fevereiro de 2025
Após 5 de fevereiro de 2025, você não poderá ativar o plano de proteção de armazenamento herdado do Defender for Storage (clássico) por transação, a menos que ele já esteja habilitado na sua assinatura. Para obter mais informações, consulte Mover para o novo plano do Defender for Storage.
A configuração de convidado da Política do Azure agora está disponível ao público em geral (GA)
1 de setembro de 2024
A configuração de convidado da Política do Azure do Defender for Server agora está disponível em geral (GA) para todos os clientes multicloud do Defender for Servers Plan 2. A Configuração de Convidado fornece uma experiência unificada para gerenciar linhas de base de segurança em todo o seu ambiente. Ele permite que você avalie e imponha configurações de segurança em seus servidores, incluindo máquinas Windows e Linux, VMs do Azure, AWS EC2 e instâncias GCP.
Saiba como habilitar a configuração da máquina do Azure Policy em seu ambiente.
Visualização do suporte ao registro de contêiner do Docker Hub pelo Defender for Containers
1 de setembro de 2024
Estamos introduzindo a visualização pública da extensão de cobertura do Microsoft Defender for Containers para incluir registros externos, começando com registros de contêineres do Docker Hub. Como parte do Microsoft Cloud Security Posture Management da sua organização, a extensão da cobertura para registros de contêiner do Docker Hub oferece os benefícios da verificação das imagens de contêiner do Docker Hub usando o Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar ameaças à segurança e mitigar possíveis riscos à segurança.
Para obter mais informações sobre esse recurso, consulte Avaliação de vulnerabilidade para o Docker Hub
August 2024
| Date | Category | Update |
|---|---|---|
| August 28 | Preview | Nova versão do File Integrity Monitoring baseada no Microsoft Defender for Endpoint |
| August 22 | Upcoming deprecation | Desativação da integração de alertas do Defender for Cloud com alertas do Azure WAF |
| August 1 | disponibilidade geral | Habilite o Microsoft Defender para servidores SQL em máquinas em escala |
Nova versão do File Integrity Monitoring baseada no Microsoft Defender for Endpoint
28 de agosto de 2024
A nova versão do File Integrity Monitoring baseada no Microsoft Defender for Endpoint está agora em pré-visualização pública. Faz parte do Plano 2 do Defender for Servers. O portal permite-lhe:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detetando alterações suspeitas no conteúdo de arquivos.
Como parte desta versão, a experiência FIM sobre AMA não estará mais disponível no portal Defender for Cloud. A experiência da FIM no MMA permanecerá apoiada até o final de novembro de 2024. No início de setembro, será lançada uma experiência no produto que permite migrar sua configuração FIM sobre MMA para a nova versão FIM over Defender for Endpoint.
Para obter informações sobre como habilitar o FIM sobre o Defender for Endpoint, consulte File Integrity Monitoring using Microsoft Defender for Endpoint. Para obter informações sobre como migrar de versões anteriores, consulte Migrar monitoramento de integridade de arquivos de versões anteriores.
Desativação da integração de alertas do Defender for Cloud com alertas do Azure WAF
22 de agosto de 2024
Data estimada para alteração: 25 de setembro de 2024
Defender for Cloud alert integration with Azure WAF alerts will be retired on September 25, 2024. Nenhuma ação é necessária do seu lado. For Microsoft Sentinel customers, you can configure the Azure Web Application Firewall connector.
Habilite o Microsoft Defender para servidores SQL em máquinas em escala
1 de agosto de 2024
Agora você pode habilitar o Microsoft Defender para servidores SQL em máquinas em escala. Esse recurso permite habilitar o Microsoft Defender para SQL em vários servidores ao mesmo tempo, economizando tempo e esforço.
Saiba como habilitar o Microsoft Defender para servidores SQL em máquinas em escala.
July 2024
Disponibilidade geral de recomendações avançadas de deteção e configuração para proteção de endpoint
31 de julho de 2024
Recursos aprimorados de deteção para soluções de proteção de endpoint e identificação aprimorada de problemas de configuração agora estão disponíveis para servidores multicloud. Essas atualizações estão incluídas no Defender for Servers Plan 2 e no Defender Cloud Security Posture Management (CSPM).
O recurso de recomendações aprimoradas usa varredura de máquina sem agente, permitindo a descoberta e avaliação abrangentes da configuração de soluções de deteção e resposta de endpoints suportadas. Quando problemas de configuração são identificados, as etapas de correção são fornecidas.
With this general availability release, the list of supported solutions is expanded to include two more endpoint detection and response tools:
- Plataforma Singularity by SentinelOne
- Cortex XDR
Descontinuação da proteção de rede adaptativa
31 de julho de 2024
Data prevista para alteração: 31 de agosto de 2024
A proteção de rede adaptável do Defender for Server está sendo preterida.
A substituição de recursos inclui as seguintes experiências:
- Recommendation: Adaptive network hardening recommendations should be applied on internet facing virtual machines [assessment Key: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alert: Traffic detected from IP addresses recommended for blocking
Visualização: As avaliações de segurança para o GitHub não exigem mais licenciamento adicional
Julho 22, 2024
Os usuários do GitHub no Defender for Cloud não precisam mais de uma licença do GitHub Advanced Security para visualizar as descobertas de segurança. Isso se aplica a avaliações de segurança para fraquezas de código, configurações incorretas de infraestrutura como código (IaC) e vulnerabilidades em imagens de contêiner detetadas durante a fase de compilação.
Os clientes com o GitHub Advanced Security continuarão a receber avaliações de segurança adicionais no Defender for Cloud para credenciais expostas, vulnerabilidades em dependências de código aberto e descobertas do CodeQL.
Para saber mais sobre a segurança de DevOps no Defender for Cloud, consulte a Visão geral de segurança de DevOps. Para saber como integrar seu ambiente GitHub ao Defender for Cloud, siga o guia de integração do GitHub. To learn how to configure the Microsoft Security DevOps GitHub Action, see our GitHub Action documentation.
Cronogramas atualizados para a descontinuação do MMA no Defender for Servers Plan 2
Julho 18, 2024
Data prevista para alteração: agosto de 2024
Com a próxima descontinuação do agente do Log Analytics em agosto, todo o valor de segurança para a proteção do servidor no Defender for Cloud dependerá da integração com o Microsoft Defender for Endpoint (MDE) como um único agente e dos recursos sem agente fornecidos pela plataforma de nuvem e verificação de máquina sem agente.
Os seguintes recursos atualizaram cronogramas e planos, portanto, o suporte para eles no MMA será estendido para clientes do Defender for Cloud até o final de novembro de 2024:
File Integrity Monitoring (FIM): A versão prévia pública da nova versão do FIM sobre MDE está prevista para agosto de 2024. The GA version of FIM powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Security Baseline: as an alternative to the version based on MMA, the current preview version based on Guest Configuration will be released to general availability in September 2024. OS Security Baselines powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Para obter mais informações, consulte Preparar a desativação do agente do Log Analytics.
Descontinuação de recursos relacionados ao MMA como parte da aposentadoria do agente
Julho 18, 2024
Data prevista para alteração: agosto de 2024
Como parte da substituição do Microsoft Monitoring Agent (MMA) e da estratégia de implantação atualizada do Defender for Servers, todos os recursos de segurança do Defender for Servers agora serão fornecidos por meio de um único agente (Defender for Endpoint) ou por meio de recursos de verificação sem agente. Isso não exigirá dependência do MMA ou do Agente de Monitoramento do Azure (AMA).
À medida que nos aproximamos da aposentadoria do agente em agosto de 2024, os seguintes recursos relacionados ao MMA serão removidos do portal Defender for Cloud:
- Display of MMA installation status on the Inventory and Resource Health blades.
- The capability to onboard new non-Azure servers to Defender for Servers via Log Analytics workspaces will be removed from both the Inventory and Getting Started blades.
Note
We recommend that current customers, who have onboarded on-premises servers using the legacy approach, should now connect these machines via Azure Arc-enabled servers. Também recomendamos habilitar o Plano 2 do Defender for Servers nas assinaturas do Azure às quais esses servidores estão conectados.
Se você habilitou seletivamente o Defender for Servers Plan 2 em VMs específicas do Azure por meio da abordagem herdada, habilite o Defender for Servers Plan 2 nas assinaturas do Azure dessas máquinas. Exclude individual machines from the Defender for Servers coverage using the Defender for Servers per-resource configuration.
Essas etapas garantirão que não haja perda de cobertura de segurança devido à desativação do agente do Log Analytics.
Para manter a continuidade da segurança, aconselhamos os clientes com o Defender for Servers Plan 2 a habilitar a verificação de máquinas sem agente e a integração com o Microsoft Defender for Endpoint em suas assinaturas.
Você pode usar essa pasta de trabalho personalizada para acompanhar sua propriedade do Log Analytics Agent (MMA) e monitorar o status de implantação do Defender for Servers em VMs do Azure e máquinas Azure Arc.
Para obter mais informações, consulte Preparar a desativação do agente do Log Analytics.
Pré-visualização pública do Binary Drift agora disponível no Defender for Containers
Estamos apresentando a prévia pública do Binary Drift for Defender for Containers. Esse recurso ajuda a identificar e mitigar possíveis riscos de segurança associados a binários não autorizados em seus contêineres. O Binary Drift identifica e envia alertas de forma autónoma sobre processos binários potencialmente nocivos dentro dos seus contentores. Além disso, permite a implementação de uma nova Política de Deriva Binária para controlar as preferências de alerta, oferecendo a capacidade de adaptar as notificações às necessidades específicas de segurança. Para obter mais informações sobre esse recurso, consulte Deteção de desvio binário
Scripts de remediação automatizados para AWS e GCP agora são GA
14 de julho de 2024
Em março, lançamos scripts de correção automatizados para AWS & GCP para visualização pública, que permitem corrigir recomendações para AWS & GCP em escala programática.
Hoje estamos lançando esse recurso para disponível em geral (GA). Saiba como usar scripts de correção automatizados.
Atualização de permissões do aplicativo GitHub
Julho 11, 2024
Data prevista para alteração: 18 de julho de 2024
A segurança de DevOps no Defender for Cloud está constantemente fazendo atualizações que exigem que os clientes com conectores GitHub no Defender for Cloud atualizem as permissões para o aplicativo Microsoft Security DevOps no GitHub.
Como parte desta atualização, o aplicativo GitHub exigirá permissões de leitura do GitHub Copilot Business. Essa permissão será usada para ajudar os clientes a proteger melhor suas implantações do GitHub Copilot. Sugerimos atualizar o aplicativo o mais rápido possível.
As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização do GitHub, navegue até o aplicativo Microsoft Security DevOps em Configurações > de aplicativos GitHub e aceite a solicitação de permissões.
Em um e-mail automatizado do Suporte do GitHub, selecione Revisar solicitação de permissão para aceitar ou rejeitar essa alteração.
As normas de conformidade são agora GA
Julho 10, 2024
Em março, adicionamos versões prévias de muitos novos padrões de conformidade para os clientes validarem seus recursos da AWS e do GCP.
Esses padrões incluíam CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 e ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Lei Geral de Proteção de Dados Pessoais (LGPD), California Consumer Privacy Act (CCPA) e muito mais.
Esses padrões de visualização agora estão geralmente disponíveis (GA).
Confira a lista completa de padrões de conformidade suportados.
Melhoria da experiência de inventário
9 de julho de 2024
Data prevista para alteração: 11 de julho de 2024
A experiência de inventário será atualizada para melhorar o desempenho, incluindo melhorias na lógica de consulta 'Consulta aberta' do painel no Azure Resource Graph. As atualizações da lógica por trás do cálculo de recursos do Azure podem resultar em outros recursos contados e apresentados.
Ferramenta de mapeamento de contêiner para ser executada por padrão no GitHub
8 de julho de 2024
Data estimada para alteração: 12 de agosto de 2024
Com os recursos de segurança DevOps no Microsoft Defender Cloud Security Posture Management (CSPM), você pode mapear seus aplicativos nativos da nuvem de código para nuvem para iniciar facilmente fluxos de trabalho de correção de desenvolvedores e reduzir o tempo de correção de vulnerabilidades em suas imagens de contêiner. Atualmente, você deve configurar manualmente a ferramenta de mapeamento de imagem de contêiner para ser executada na ação Microsoft Security DevOps no GitHub. Com essa alteração, o mapeamento de contêiner será executado por padrão como parte da ação Microsoft Security DevOps. Saiba mais sobre a ação Microsoft Security DevOps.
June 2024
| Date | Category | Update |
|---|---|---|
| June 27 | disponibilidade geral | Checkov IaC Digitalização no Defender for Cloud. |
| June 24 | Update | Alteração nos preços do Defender for Containers multicloud |
| June 20 | Upcoming deprecation |
Lembrete de substituição de recomendações adaptáveis na substituição do Microsoft Monitoring Agent (MMA). Descontinuação estimada em agosto de 2024. |
| June 10 | Preview | Copiloto no Defender for Cloud |
| June 10 | Upcoming update |
Ativação automática de avaliação de vulnerabilidades SQL usando configuração expressa em servidores não configurados. Atualização estimada: 10 de julho de 2024. |
| June 3 | Upcoming update |
Mudanças no comportamento de recomendações de identidade Atualização estimada: 10 de julho de 2024. |
GA: Checkov IaC Scanning no Defender for Cloud
Junho 27, 2024
We're announcing the general availability of the Checkov integration for Infrastructure-as-Code (IaC) scanning through Microsoft Security DevOps (MSDO). Como parte desta versão, o Checkov substituirá o TerraScan como um analisador IaC padrão que é executado como parte da interface de linha de comando (CLI) do MSDO. TerraScan might still be configured manually through MSDO's environment variables but won't run by default.
As descobertas de segurança do Checkov apresentam como recomendações para os repositórios do Azure DevOps e do GitHub sob as avaliações Os repositórios do Azure DevOps devem ter infraestrutura como descobertas de código resolvidas e repositórios do GitHub devem ter infraestrutura como descobertas de código resolvidas.
Para saber mais sobre a segurança de DevOps no Defender for Cloud, consulte a Visão geral de segurança de DevOps. To learn how to configure the MSDO CLI, see the Azure DevOps or GitHub documentation.
Atualização: Alteração no preço do Defender for Containers em multicloud
24 de junho de 2024
Como o Defender for Containers em multicloud agora está disponível para o público em geral, ele não é mais gratuito. Para obter mais informações, consulte Preços do Microsoft Defender for Cloud.
Descontinuação: Lembrete de descontinuação para recomendações adaptáveis
Junho 20, 2024
Data prevista para alteração: agosto de 2024
Como parte da substituição do MMA e da estratégia de implantação atualizada do Defender for Servers, os recursos de segurança do Defender for Servers serão fornecidos por meio do agente do Microsoft Defender for Endpoint (MDE) ou por meio dos recursos de verificação sem agente. Ambas as opções não dependerão do MMA ou do Agente de Monitoramento do Azure (AMA).
As Recomendações de Segurança Adaptativa, conhecidas como Adaptive Application Controls e Adaptive Network Hardening, serão descontinuadas. A versão atual do GA baseada no MMA e a versão prévia baseada no AMA serão preteridas em agosto de 2024.
Pré-visualização: Copiloto no Defender for Cloud
10 de junho de 2024
Estamos anunciando a integração do Microsoft Security Copilot no Defender for Cloud em visualização pública. A experiência integrada do Copilot no Defender for Cloud oferece aos usuários a capacidade de fazer perguntas e obter respostas em linguagem natural. O copiloto pode ajudá-lo a entender o contexto de uma recomendação, o efeito da implementação de uma recomendação, as etapas necessárias para implementar uma recomendação, ajudar com a delegação de recomendações e ajudar com a correção de configurações incorretas no código.
Saiba mais sobre o Microsoft Security Copilot no Defender for Cloud.
Atualização: ativação automática da avaliação de vulnerabilidades do SQL
10 de junho de 2024
Data prevista para alteração: 10 de julho de 2024
Originalmente, a Avaliação de Vulnerabilidade do SQL (VA) com a Configuração Expressa só era ativada automaticamente em servidores onde o Microsoft Defender for SQL foi ativado após a introdução da Configuração Expressa em dezembro de 2022.
Atualizaremos todos os SQL Servers do Azure que tinham o Microsoft Defender for SQL ativado antes de dezembro de 2022 e não tinham nenhuma política de VA SQL existente em vigor, para que a Avaliação de Vulnerabilidade do SQL (SQL VA) seja ativada automaticamente com a Configuração Expressa.
- A implementação desta alteração será gradual, estendendo-se por várias semanas, e não requer qualquer ação por parte do utilizador.
- Essa alteração se aplica aos SQL Servers do Azure em que o Microsoft Defender for SQL foi ativado no nível de assinatura do Azure.
- Os servidores com uma configuração clássica existente (válida ou inválida) não serão afetados por esta alteração.
- Após a ativação, a recomendação "Os bancos de dados SQL devem ter descobertas de vulnerabilidade resolvidas" pode aparecer e pode afetar sua pontuação segura.
Atualização: Alterações no comportamento de recomendações de identidade
3 de junho de 2024
Data prevista para alteração: julho de 2024
These changes:
- O recurso avaliado passará a ser a identidade em vez da subscrição
- As recomendações não terão mais "subrecomendações"
- O valor do campo 'assessmentKey' na API será alterado para essas recomendações
Serão aplicadas as seguintes recomendações:
- Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA
- Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA
- Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA
- Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas
- Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas
- Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas
- Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas
- Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas
- Um máximo de três proprietários devem ser designados para a sua subscrição
- Deve haver mais do que um proprietário atribuído à sua subscrição
May 2024
| Date | Category | Update |
|---|---|---|
| May 30 | disponibilidade geral | Deteção de malware sem agente no Defender for Servers Plan 2 |
| May 22 | Update | Configurar notificações por e-mail para caminhos de ataque |
| May 21 | Update | A caça avançada no Microsoft Defender XDR inclui alertas e incidentes do Defender for Cloud |
| May 9 | Preview | Integração Checkov para verificação de IaC no Defender for Cloud |
| May 7 | disponibilidade geral | Gerenciamento de permissões no Defender for Cloud |
| May 6 | Preview | O gerenciamento de postura de segurança multicloud da IA está disponível para Azure e AWS. |
| May 6 | Limited preview | Proteção contra ameaças para cargas de trabalho de IA no Azure. |
| May 2 | Update | Gestão de políticas de segurança. |
| May 1 | Preview | O Defender for open-source databases já está disponível na AWS para instâncias da Amazon. |
| May 1 | Upcoming deprecation |
Remoção de FIM sobre AMA e lançamento de nova versão sobre Defender for Endpoint. Depreciação estimada em agosto de 2024. |
GA: Deteção de malware sem agente no Defender for Servers Plan 2
30 de maio de 2024
A deteção de malware sem agente do Defender for Cloud para VMs do Azure, instâncias do AWS EC2 e instâncias de VM do GCP agora está disponível como um novo recurso no Defender for Servers Plan 2.
A deteção de malware sem agente usa o mecanismo antimalware Microsoft Defender Antivirus para verificar e detetar arquivos mal-intencionados. As ameaças detetadas disparam alertas de segurança diretamente no Defender for Cloud e no Defender XDR, onde podem ser investigados e corrigidos. Saiba mais sobre a verificação de malware sem agente para servidores e a verificação sem agente para VMs.
Atualização: configurar notificações por e-mail para caminhos de ataque
Maio 22, 2024
Agora você pode configurar notificações por e-mail quando um caminho de ataque é detetado com um nível de risco especificado ou superior. Saiba como configurar notificações por e-mail.
Atualização: A caça avançada no Microsoft Defender XDR inclui alertas e incidentes do Defender for Cloud
21 de maio de 2024
Os alertas e incidentes do Defender for Cloud agora estão integrados ao Microsoft Defender XDR e podem ser acessados no Portal do Microsoft Defender. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem. Saiba mais sobre caça avançada na integração XDR.
Pré-visualização: Integração Checkov para análise IaC no Defender for Cloud
9 de maio de 2024
A integração do Checkov para segurança de DevOps no Defender for Cloud está agora em pré-visualização. Essa integração melhora a qualidade e o número total de verificações de infraestrutura como código executadas pela CLI do MSDO ao verificar modelos de IAC.
Durante a visualização, Checkov deve ser explicitamente invocado através do parâmetro de entrada 'tools' para a CLI do MSDO.
Saiba mais sobre a segurança de DevOps no Defender for Cloud e como configurar a CLI do MSDO para Azure DevOps e GitHub.
GA: Gerenciamento de permissões no Defender for Cloud
Maio 7, 2024
Permissions management is now generally available in Defender for Cloud.
Pré-visualização: Gestão da postura de segurança multicloud da IA
Maio 6, 2024
O gerenciamento de postura de segurança de IA está disponível em visualização no Defender for Cloud. Ele fornece recursos de gerenciamento de postura de segurança de IA para Azure e AWS, para melhorar a segurança de seus pipelines e serviços de IA.
Saiba mais sobre a gestão da postura de segurança da IA.
Visualização limitada: Proteção contra ameaças para cargas de trabalho de IA no Azure
Maio 6, 2024
A proteção contra ameaças para cargas de trabalho de IA no Defender for Cloud está disponível em visualização limitada. Este plano ajuda você a monitorar seus aplicativos com tecnologia Azure OpenAI em tempo de execução em busca de atividades maliciosas, identificar e corrigir riscos de segurança. It provides contextual insights into AI workload threat protection, integrating with Responsible AI and Microsoft Threat Intelligence. Os alertas de segurança relevantes são integrados no portal Defender.
Saiba mais sobre a proteção contra ameaças para cargas de trabalho de IA.
GA: Gestão de políticas de segurança
2 de maio de 2024
O gerenciamento de políticas de segurança em nuvens (Azure, AWS, GCP) agora está disponível ao público em geral. Isso permite que as equipes de segurança gerenciem suas políticas de segurança de forma consistente e com novos recursos
Saiba mais sobre as políticas de segurança no Microsoft Defender for Cloud.
Visualização: Defender para bancos de dados de código aberto disponíveis na AWS
1 de maio de 2024
O Defender para bancos de dados de código aberto na AWS agora está disponível na visualização. Ele adiciona suporte para vários tipos de instância do Amazon Relational Database Service (RDS).
Saiba mais sobre o Defender para bancos de dados de código aberto e como habilitar o Defender para bancos de dados de código aberto na AWS.
Descontinuação: Remoção da MIF (com AMA)
1 de maio de 2024
Data prevista para alteração: agosto de 2024
Como parte da descontinuação do MMA e da estratégia de implantação atualizada do Defender for Servers, todos os recursos de segurança do Defender for Servers serão fornecidos por meio de um único agente (MDE) ou por meio de recursos de verificação sem agente, e sem dependência do MMA ou AMA.
A nova versão do File Integrity Monitoring (FIM) sobre o Microsoft Defender for Endpoint (MDE) permite que você atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real, auditando alterações e detetando alterações suspeitas no conteúdo de arquivos.
Como parte desta versão, a experiência FIM sobre AMA não estará mais disponível através do portal Defender for Cloud a partir de agosto de 2024. Para obter mais informações, consulte Experiência de monitoramento de integridade de arquivos - alterações e diretrizes de migração.
Para obter detalhes sobre a nova versão da API, consulte Microsoft Defender for Cloud REST APIs.
April 2024
| Date | Category | Update |
|---|---|---|
| April 16 | Upcoming update |
Alteração dos IDs de avaliação do CIEM. Atualização estimada: maio de 2024. |
| April 15 | disponibilidade geral | O Defender for Containers já está disponível para AWS e GCP. |
| April 3 | Update | A priorização de risco agora é a experiência padrão no Defender for Cloud |
| April 3 | Update | Defender para atualizações de bancos de dados relacionais de código aberto. |
Atualização: Alteração nos IDs de avaliação do CIEM
16 de abril de 2024
Data prevista para alteração: maio de 2024
As seguintes recomendações estão programadas para remodelação, o que resultará em alterações nos seus IDs de avaliação:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender for Containers for AWS e GCP
15 de abril de 2024
A deteção de ameaças em tempo de execução e a descoberta sem agente para AWS e GCP no Defender for Containers agora estão disponíveis para o público em geral. Além disso, há um novo recurso de autenticação na AWS que simplifica o provisionamento.
Saiba mais sobre a matriz de suporte de contêineres no Defender for Cloud e como configurar os componentes do Defender for Containers.
Atualização: Priorização de riscos
3 de abril de 2024
A priorização de risco agora é a experiência padrão no Defender for Cloud. Esse recurso ajuda você a se concentrar nos problemas de segurança mais críticos em seu ambiente, priorizando recomendações com base nos fatores de risco de cada recurso. Os fatores de risco incluem o impacto potencial do problema de segurança que está sendo violado, as categorias de risco e o caminho de ataque do qual o problema de segurança faz parte. Learn more about risk prioritization.
Atualização: Defender para bancos de dados relacionais de código aberto
3 de abril de 2024
- Defender for PostgreSQL Flexible Servers post-GA updates - A atualização permite que os clientes imponham proteção para servidores flexíveis PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou para proteção automática de todos os recursos no nível de assinatura.
- Defender for MySQL Flexible Servers Availability e GA - Defender for Cloud expandiu seu suporte para bancos de dados relacionais de código aberto do Azure incorporando MySQL Flexible Servers.
Esta versão inclui:
- Compatibilidade de alertas com alertas existentes para Defender for MySQL Single Servers.
- Capacitação de recursos individuais.
- Habilitação no nível da assinatura.
- As atualizações para o Banco de Dados do Azure para servidores flexíveis MySQL serão lançadas nas próximas semanas. Se vir o erro
The server <servername> is not compatible with Advanced Threat Protection, pode aguardar pela atualização ou abrir um ticket de suporte para atualizar o servidor mais cedo para uma versão suportada.
Se você já estiver protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos flexíveis do servidor serão automaticamente habilitados, protegidos e cobrados. Foram enviadas notificações de faturação específicas por correio eletrónico para as subscrições afetadas.
Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.
March 2024
GA: Verificação de imagens de contêiner do Windows
31 de março de 2024
Estamos anunciando a disponibilidade geral (GA) do suporte de imagens de contêiner do Windows para verificação pelo Defender for Containers.
Atualização: a exportação contínua agora inclui dados de caminho de ataque
25 de março de 2024
Estamos anunciando que a exportação contínua agora inclui dados de caminho de ataque. Esse recurso permite que você transmita dados de segurança para o Log Analytics no Azure Monitor, para Hubs de Eventos do Azure ou para outro SIEM (Gerenciamento de Informações de Segurança e Eventos), SOAR (Security Orchestration Automated Response) ou solução de modelo de implantação clássica de TI.
Learn more about continuous export.
Pré-visualização: A análise sem agente suporta VMs encriptadas CMK no Azure
Março 21, 2024
Até agora, a verificação sem agente cobria VMs criptografadas CMK na AWS e no GCP. Com esta versão, estamos completando o suporte para o Azure também. O recurso emprega uma abordagem de verificação exclusiva para CMK no Azure:
- O Defender for Cloud não lida com a chave ou o processo de desencriptação. As chaves e a desencriptação são perfeitamente tratadas pelo Azure Compute e são transparentes para o serviço de análise sem agente do Defender for Cloud.
- Os dados do disco da VM não criptografados nunca são copiados ou recriptografados com outra chave.
- A chave original não é replicada durante o processo. Limpá-lo erradica os dados na VM de produção e no instantâneo temporário do Defender for Cloud.
Durante a visualização pública, esse recurso não é ativado automaticamente. If you're using Defender for Servers P2 or Defender CSPM and your environment has VMs with CMK encrypted disks, you can now have them scanned for vulnerabilities, secrets, and malware following these enablement steps.
Pré-visualização: Recomendações personalizadas baseadas no KQL para Azure
17 de março de 2024
As recomendações personalizadas baseadas no KQL para Azure estão agora em pré-visualização pública e têm suporte para todas as nuvens. Para obter mais informações, consulte Criar recomendações e padrões de segurança personalizados.
Atualização: inclusão de recomendações de DevOps no benchmark de segurança na nuvem da Microsoft
13 de Março de 2024
Hoje, estamos anunciando que agora você pode monitorar sua postura de segurança e conformidade de DevOps no benchmark de segurança na nuvem da Microsoft (MCSB), além do Azure, AWS e GCP. As avaliações de DevOps fazem parte do controle de Segurança de DevOps no MCSB.
O MCSB é uma estrutura que define princípios fundamentais de segurança na nuvem com base em padrões comuns do setor e estruturas de conformidade. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança agnósticas da nuvem.
Learn more about the DevOps recommendations that will be included and the Microsoft cloud security benchmark.
GA: A integração com ServiceNow agora está disponível para o público em geral
12 de março de 2024
We're announcing the general availability (GA) of the ServiceNow integration.
Pré-visualização: Proteção de ativos críticos no Microsoft Defender for Cloud
12 de março de 2024
O Defender for Cloud agora inclui um recurso de criticidade de negócios, usando o mecanismo de ativos críticos do Microsoft Security Exposure Management, para identificar e proteger ativos importantes por meio de priorização de risco, análise de caminho de ataque e explorador de segurança na nuvem. Para obter mais informações, consulte Proteção de ativos críticos no Microsoft Defender for Cloud (Visualização).
Atualização: recomendações aprimoradas da AWS e do GCP com scripts de correção automatizados
12 de março de 2024
Estamos aprimorando as recomendações da AWS e do GCP com scripts de correção automatizados que permitem corrigi-los programaticamente e em escala. Saiba mais sobre scripts de correção automatizados.
Visualização: padrões de conformidade adicionados ao painel de conformidade
6 de março de 2024
Com base nos comentários dos clientes, adicionamos padrões de conformidade em pré-visualização ao Defender for Cloud.
Confira a lista completa de padrões de conformidade suportados
Estamos trabalhando continuamente para adicionar e atualizar novos padrões para ambientes Azure, AWS e GCP.
Saiba como atribuir um padrão de segurança.
Atualização: Defender para atualizações de bancos de dados relacionais de código aberto
6 de março de 2024**
Data prevista para alteração: abril de 2024
Defender for PostgreSQL Flexible Servers post-GA updates - A atualização permite que os clientes imponham proteção para servidores flexíveis PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou para proteção automática de todos os recursos no nível de assinatura.
O Defender for MySQL Flexible Servers Availability e o GA - Defender for Cloud estão prontos para expandir seu suporte a bancos de dados relacionais de código aberto do Azure incorporando Servidores Flexíveis MySQL. Esta versão incluirá:
- Compatibilidade de alertas com alertas existentes para Defender for MySQL Single Servers.
- Capacitação de recursos individuais.
- Habilitação no nível da assinatura.
Se você já estiver protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos flexíveis do servidor serão automaticamente habilitados, protegidos e cobrados. Foram enviadas notificações de faturação específicas por correio eletrónico para as subscrições afetadas.
Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.
Atualização: alterações nas configurações de Ofertas de Conformidade e Ações da Microsoft
3 de março de 2024
Data prevista para alteração: 30 de setembro de 2025
Em 30 de setembro de 2025, os locais onde você acessa dois recursos de visualização, Oferta de conformidade e Ações da Microsoft, serão alterados.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). Depois que esse botão for removido do Defender for Cloud, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.
Para um subconjunto de controles, o Microsoft Actions estava acessível a partir do botão Microsoft Actions (Preview) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança de Serviços da Microsoft para FedRAMP e acessando o documento Plano de Segurança do Sistema do Azure.
Atualização: alterações no local onde você acessa as ofertas de conformidade e as ações da Microsoft
3 de março de 2024**
Data prevista para alteração: setembro de 2025
Em 30 de setembro de 2025, os locais onde você acessa dois recursos de visualização, Oferta de conformidade e Ações da Microsoft, serão alterados.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). Depois que esse botão for removido do Defender for Cloud, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.
Para um subconjunto de controles, o Microsoft Actions estava acessível a partir do botão Microsoft Actions (Preview) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança de Serviços da Microsoft para FedRAMP e acessando o documento Plano de Segurança do Sistema do Azure.
Descontinuação: Avaliação de vulnerabilidade do Defender for Cloud Containers com tecnologia Qualys retirement
3 de março de 2024
O Defender for Cloud Containers Vulnerability Assessment desenvolvido pela Qualys está sendo desativado. A aposentadoria será concluída até 6 de março e, até lá, os resultados parciais ainda podem aparecer tanto nas recomendações da Qualys quanto nos resultados da Qualys no gráfico de segurança. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para Avaliações de vulnerabilidade para o Azure com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter informações sobre a transição para a oferta de avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management, consulte Transição do Qualys para o Microsoft Defender Vulnerability Management.
February 2024
| Date | Category | Update |
|---|---|---|
| February 28 | Deprecation | A Análise de Código de Segurança da Microsoft (MSCA) não está mais operacional. |
| February 28 | Update | O gerenciamento atualizado de políticas de segurança expande o suporte à AWS e ao GCP. |
| February 26 | Update | Suporte na nuvem para o Defender for Containers |
| February 20 | Update | Nova versão do sensor Defender for Defender for Containers |
| February 18 | Update | Suporte à especificação do formato de imagem Open Container Initiative (OCI) |
| February 13 | Deprecation | A avaliação de vulnerabilidade de contêineres da AWS com tecnologia Trivy foi aposentada. |
| February 5 | Upcoming update |
Descomissionamento do provedor de recursos Microsoft.SecurityDevOps Esperado: 6 de março de 2024 |
Descontinuação: Microsoft Security Code Analysis (MSCA) não está mais operacional
28 de fevereiro de 2024
In February 2021, the deprecation of the MSCA task was communicated to all customers and has been past end of life support since March 2022. A partir de 26 de fevereiro de 2024, a MSCA deixou oficialmente de estar operacional.
Os clientes podem obter as ferramentas de segurança DevOps mais recentes do Defender for Cloud por meio do Microsoft Security DevOps e mais ferramentas de segurança por meio do GitHub Advanced Security for Azure DevOps.
Atualização: o gerenciamento de políticas de segurança expande o suporte à AWS e ao GCP
28 de fevereiro de 2024
A experiência atualizada para gerenciar políticas de segurança, inicialmente lançada no Preview for Azure, está expandindo seu suporte para ambientes entre nuvens (AWS e GCP). Esta versão de pré-visualização inclui:
- Gerenciamento de padrões de conformidade regulatória no Defender for Cloud em ambientes Azure, AWS e GCP.
- A mesma experiência de interface entre nuvens para criar e gerenciar recomendações personalizadas do Microsoft Cloud Security Benchmark (MCSB).
- A experiência atualizada é aplicada à AWS e ao GCP para criar recomendações personalizadas com uma consulta KQL.
Atualização: Suporte na nuvem para o Defender for Containers
26 de fevereiro de 2024
Os recursos de deteção de ameaças do Serviço Kubernetes do Azure (AKS) no Defender for Containers agora são totalmente suportados nas nuvens comerciais, do Azure Government e do Azure China 21Vianet. Review supported features.
Atualização: Nova versão do sensor Defender for Defender for Containers
Fevereiro 20, 2024
Uma nova versão do sensor Defender for Containers está disponível. It includes performance and security improvements, support for both AMD64 and Arm64 arch nodes (Linux only), and uses Inspektor Gadget as the process collection agent instead of Sysdig. A nova versão só é suportada nas versões 5.4 e superiores do kernel Linux, portanto, se você tiver versões mais antigas do kernel Linux, precisará atualizar. O suporte para Arm64 só está disponível a partir do AKS V1.29 e superior. Para obter mais informações, consulte Sistemas operacionais de host suportados.
Atualização: suporte à especificação do formato de imagem Open Container Initiative (OCI)
Fevereiro 18, 2024
A especificação do formato de imagem Open Container Initiative (OCI) agora é suportada pela avaliação de vulnerabilidades, fornecida pelo Microsoft Defender Vulnerability Management para nuvens AWS, Azure & GCP.
Descontinuação: avaliação de vulnerabilidade de contêiner da AWS com tecnologia Trivy aposentada
Fevereiro 13, 2024
A avaliação de vulnerabilidade de contêineres fornecida pela Trivy foi aposentada. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para a nova avaliação de vulnerabilidade de contêiner da AWS fornecida pelo Microsoft Defender Vulnerability Management. Para obter instruções sobre como atualizar, consulte Como faço upgrade da avaliação de vulnerabilidade Trivy desativada para a avaliação de vulnerabilidade da AWS fornecida pelo Microsoft Defender Vulnerability Management?
Atualização: Descomissionamento do provedor de recursos Microsoft.SecurityDevOps
5 de fevereiro de 2024
Data prevista para alteração: 6 de março de 2024
O Microsoft Defender for Cloud está desativando o provedor Microsoft.SecurityDevOps de recursos que foi usado durante a visualização pública da segurança do DevOps, tendo migrado para o provedor existente Microsoft.Security . A razão para a mudança é melhorar as experiências do cliente, reduzindo o número de provedores de recursos associados aos conectores de DevOps.
Customers that are still using the API version 2022-09-01-preview under Microsoft.SecurityDevOps to query Defender for Cloud DevOps security data will be impacted. To avoid disruption to their service, customer will need to update to the new API version 2023-09-01-preview under the Microsoft.Security provider.
Os clientes que atualmente usam a segurança do Defender for Cloud DevOps do portal do Azure não serão afetados.
January 2024
Atualização: novas informações para repositórios ativos no Cloud Security Explorer
31 de janeiro de 2024
Uma nova visão para repositórios de DevOps do Azure foi adicionada ao Cloud Security Explorer para indicar se os repositórios estão ativos. Essa perceção indica que o repositório de código não está arquivado ou desativado, o que significa que o acesso de gravação a código, compilações e solicitações pull ainda está disponível para os usuários. Repositórios arquivados e desabilitados podem ser considerados de prioridade mais baixa, pois o código normalmente não é usado em implantações ativas.
Para testar a consulta através do Cloud Security Explorer, utilize esta ligação de consulta.
Atualização: Alteração no preço para deteção de ameaças de contêiner multicloud
30 de janeiro de 2024**
Data prevista para alteração: abril de 2024
Quando a deteção de ameaças de contêineres multicloud for transferida para o GA, ela não será mais gratuita. Para obter mais informações, consulte Preços do Microsoft Defender for Cloud.
Atualização: Aplicação do Defender CSPM for Premium DevOps Security Value
29 de janeiro de 2024**
Data prevista para alteração: 7 de março de 2024
O Defender for Cloud começará a aplicar a verificação do plano Defender CSPM para o valor de segurança premium do DevOps a partir de 7 de março de 2024. Se você tiver o plano Defender CSPM habilitado em um ambiente de nuvem (Azure, AWS, GCP) dentro do mesmo locatário em que seus conectores de DevOps foram criados, você continuará a receber recursos premium de DevOps sem custo extra. Se você não for um cliente do Defender CSPM, você tem até 7 de março de 2024 para habilitar o Defender CSPM antes de perder o acesso a esses recursos de segurança. To enable Defender CSPM on a connected cloud environment before March 7, 2024, follow the enablement documentation outlined here.
Para obter mais informações sobre quais recursos de segurança de DevOps estão disponíveis nos planos CSPM Foundational e Defender CSPM, consulte nossa documentação que descreve a disponibilidade de recursos.
For more information about DevOps Security in Defender for Cloud, see the overview documentation.
Para obter mais informações sobre os recursos de segurança de código para nuvem no Defender CSPM, consulte como proteger seus recursos com o Defender CSPM.
Visualização: Postura de contêiner sem agente para GCP no Defender for Containers e no Defender CSPM
24 de janeiro de 2024
Os novos recursos de postura de contêiner sem agente (Visualização) estão disponíveis para GCP, incluindo avaliações de vulnerabilidade para GCP com o Microsoft Defender Vulnerability Management. Para obter mais informações sobre todos os recursos, consulte Postura de contêiner sem agente no Defender CSPM e Recursos sem agente no Defender for Containers.
Você também pode ler sobre o gerenciamento de postura de contêiner sem agente para multicloud nesta postagem do blog.
Pré-visualização: Análise de malware sem agente para servidores
16 de janeiro de 2024
Estamos anunciando o lançamento da deteção de malware sem agente do Defender for Cloud para máquinas virtuais (VM) do Azure, instâncias do AWS EC2 e instâncias de VM do GCP, como um novo recurso incluído no Defender for Servers Plan 2.
A deteção de malware sem agente para VMs agora está incluída em nossa plataforma de verificação sem agente. A verificação de malware sem agente utiliza o mecanismo antimalware Microsoft Defender Antivirus para verificar e detetar arquivos mal-intencionados. Qualquer ameaça detetada, dispare alertas de segurança diretamente no Defender for Cloud e no Defender XDR, onde podem ser investigados e corrigidos. O verificador de malware Agentless complementa a cobertura baseada em agente com uma segunda camada de deteção de ameaças com integração sem atrito e não tem efeito sobre o desempenho da sua máquina.
Saiba mais sobre a verificação de malware sem agente para servidores e a verificação sem agente para VMs.
Disponibilidade geral da integração do Defender for Cloud com o Microsoft Defender XDR
15 de janeiro de 2024
Estamos anunciando a disponibilidade geral (GA) da integração entre o Defender for Cloud e o Microsoft Defender XDR (anteriormente Microsoft 365 Defender).
A integração traz recursos competitivos de proteção de nuvem para o dia a dia do Security Operations Center (SOC). Com o Microsoft Defender for Cloud e a integração do Defender XDR, as equipes SOC podem descobrir ataques que combinam deteções de vários pilares, incluindo Cloud, Endpoint, Identity, Office 365 e muito mais.
Saiba mais sobre alertas e incidentes no Microsoft Defender XDR.
Atualização: função interna do Azure de verificação de VM sem agente
14 de janeiro de 2024**
Data prevista da alteração: fevereiro de 2024
No Azure, a verificação sem agente para VMs usa uma função interna (chamada operador de scanner de VM) com as permissões mínimas necessárias necessárias para verificar e avaliar suas VMs em busca de problemas de segurança. Para fornecer continuamente recomendações relevantes de integridade e configuração da varredura para VMs com volumes criptografados, uma atualização para as permissões dessa função é planejada. A atualização inclui a adição da Microsoft.Compute/DiskEncryptionSets/read permissão. Essa permissão permite apenas uma melhor identificação do uso de disco criptografado em VMs. It doesn't provide Defender for Cloud any more capabilities to decrypt or access the content of these encrypted volumes beyond the encryption methods already supported before this change. Espera-se que esta alteração ocorra durante o mês de fevereiro de 2024 e não é necessária qualquer ação do seu lado.
Atualização: anotações de solicitação pull de segurança do DevOps habilitadas por padrão para conectores do Azure DevOps
Janeiro 12, 2024
A segurança do DevOps expõe as descobertas de segurança como anotações em Pull Requests (PR) para ajudar os desenvolvedores a prevenir e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes que elas entrem em produção. A partir de 12 de janeiro de 2024, as anotações PR agora estão habilitadas por padrão para todos os repositórios de DevOps do Azure novos e existentes conectados ao Defender for Cloud.
Por padrão, as anotações de RP são habilitadas apenas para descobertas de Infraestrutura como Código (IAC) de alta gravidade. Os clientes ainda precisarão configurar o Microsoft Security for DevOps (MSDO) para ser executado em compilações PR e habilitar a política de Validação de Compilação para compilações de CI nas configurações do repositório do Azure DevOps. Os clientes podem desativar o recurso de anotação PR para repositórios específicos nas opções de configuração do repositório do painel de segurança DevOps.
Saiba mais sobre como habilitar anotações de solicitação pull para o Azure DevOps.
Descontinuação: caminho de desativação da avaliação de vulnerabilidade interna (Qualys) do Defender for Servers
9 de janeiro de 2024**
Data prevista para alteração: maio de 2024
A solução de avaliação de vulnerabilidades integrada do Defender for Servers fornecida pela Qualys está em um caminho de aposentadoria, que está estimado para ser concluído em 1º de maio de 2024. Se estiver a utilizar atualmente a solução de avaliação de vulnerabilidades da Qualys, deve planear a sua transição para a solução integrada de gestão de vulnerabilidades do Microsoft Defender.
Para obter mais informações sobre nossa decisão de unificar nossa oferta de avaliação de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender, leia esta postagem no blog.
Você também pode conferir as perguntas comuns sobre a transição para a solução Microsoft Defender Vulnerability Management.
Atualização: os requisitos de rede multicloud do Defender for Cloud
3 de janeiro de 2024**
Data prevista para alteração: maio de 2024
A partir de maio de 2024, vamos desativar os antigos endereços IP associados aos nossos serviços de descoberta multicloud para acomodar melhorias e garantir uma experiência mais segura e eficiente para todos os usuários.
Para garantir o acesso ininterrupto aos nossos serviços, deve atualizar a sua lista de permissões de IP com os novos intervalos fornecidos nas secções seguintes. Você deve fazer os ajustes necessários nas configurações de firewall, grupos de segurança ou quaisquer outras configurações que possam ser aplicáveis ao seu ambiente.
A lista é aplicável a todos os planos e suficiente para a plena capacidade da oferta fundamental (gratuita) do CSPM.
Endereços IP a serem retirados:
- Descoberta GCP: 104.208.29.200, 52.232.56.127
- AWS de descoberta: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Novos intervalos de IP específicos da região a serem adicionados:
- Europa Ocidental: 52.178.17.48/28
- Norte da Europa: 13.69.233.80/28
- Centro dos EUA: 20.44.10.240/28
- Leste dos EUA 2: 20.44.19.128/28
December 2023
Consolidação dos nomes de Nível de Serviço 2 do Defender for Cloud
30 de dezembro de 2023
Estamos consolidando os nomes legados de Nível de Serviço 2 para todos os planos do Defender for Cloud em um único novo nome de Nível de Serviço 2, Microsoft Defender for Cloud.
Atualmente, há quatro nomes de Nível de Serviço 2: Azure Defender, Proteção Avançada contra Ameaças, Segurança Avançada de Dados e Central de Segurança. Os vários medidores do Microsoft Defender for Cloud são agrupados nesses nomes de Nível de Serviço 2 separados, criando complexidades ao usar o Gerenciamento de Custos + Cobrança, faturamento e outras ferramentas relacionadas à cobrança do Azure.
A alteração simplifica o processo de revisão das cobranças do Defender for Cloud e fornece maior clareza na análise de custos.
Para garantir uma transição suave, tomamos medidas para manter a consistência do nome do produto/serviço, SKU e IDs do medidor. Os clientes afetados receberão uma Notificação de Serviço do Azure informativa para comunicar as alterações.
As organizações que recuperam dados de custo chamando nossas APIs precisarão atualizar os valores em suas chamadas para acomodar a alteração. Por exemplo, nesta função de filtro, os valores não retornarão nenhuma informação:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| Nome OLD Service Level 2 | NOVO nome do Nível de Serviço 2 | Nível de Serviço - Nível de Serviço 4 (Sem alteração) |
|---|---|---|
| Advanced Data Security | Microsoft Defender para a Cloud | Defender para SQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defensor dos Registos de Contentores |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para DNS |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Key Vault |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defesa do Kubernetes |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para MySQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender o PostgreSQL |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para Gestor de Recursos |
| Advanced Threat Protection | Microsoft Defender para a Cloud | Defender para armazenamento |
| Azure Defender | Microsoft Defender para a Cloud | Defender para Gestão de Superfícies de Ataque Externo |
| Azure Defender | Microsoft Defender para a Cloud | Defender para o Azure Cosmos DB |
| Azure Defender | Microsoft Defender para a Cloud | Defender para contentores |
| Azure Defender | Microsoft Defender para a Cloud | Defensor do MariaDB |
| Centro de Segurança | Microsoft Defender para a Cloud | Defender para Serviço de Aplicações |
| Centro de Segurança | Microsoft Defender para a Cloud | Defender para Servidores |
| Centro de Segurança | Microsoft Defender para a Cloud | Defender CSPM |
Defender for Servers no nível de recursos disponível como GA
24 de dezembro de 2023
Agora é possível gerenciar o Defender for Servers em recursos específicos dentro da sua assinatura, dando a você controle total sobre sua estratégia de proteção. Com esse recurso, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações definidas no nível da assinatura.
Saiba mais sobre como habilitar o Defender for Servers no nível de recursos.
Aposentadoria de conectores clássicos para multicloud
21 de dezembro de 2023
A experiência clássica do conector multicloud é desativada e os dados não são mais transmitidos para conectores criados por meio desse mecanismo. Esses conectores clássicos foram usados para conectar as recomendações do AWS Security Hub e do GCP Security Command Center ao Defender for Cloud e integrar o AWS EC2s ao Defender for Servers.
O valor total desses conectores foi substituído pela experiência nativa de conectores de segurança multicloud, que está disponível para AWS e GCP desde março de 2022 sem custo extra.
Os novos conectores nativos estão incluídos no seu plano e oferecem uma experiência de integração automatizada com opções para integrar contas únicas, várias contas (com Terraform) e integração organizacional com provisionamento automático para os seguintes planos Defender: recursos CSPM básicos gratuitos, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender for SQL e Defender for Containers.
Lançamento da pasta de trabalho Cobertura
21 de dezembro de 2023
A pasta de trabalho Cobertura permite que você acompanhe quais planos do Defender for Cloud estão ativos em quais partes de seus ambientes. Esta pasta de trabalho pode ajudá-lo a garantir que seus ambientes e assinaturas estejam totalmente protegidos. Ao ter acesso a informações detalhadas de cobertura, você também pode identificar quaisquer áreas que possam precisar de outra proteção e tomar medidas para resolver essas áreas.
Learn more about the Coverage workbook.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres com tecnologia Microsoft Defender Gerenciamento de Vulnerabilidades no Azure Government e Azure operado pela 21Vianet
14 de dezembro de 2023
A avaliação de vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management é lançada para Disponibilidade Geral (GA) no Azure Government e no Azure operado pela 21Vianet. Esta nova versão está disponível nos planos Defender for Containers e Defender for Container Registrys.
- Como parte dessa mudança, novas recomendações foram lançadas para a AG e incluídas no cálculo seguro da pontuação. Rever recomendações de segurança novas e atualizadas
- Container image scan powered by Microsoft Defender Vulnerability Management now also incurs charges according to plan pricing. As imagens digitalizadas tanto pela nossa oferta de VA de contêiner fornecida pela Qualys quanto pela oferta de VA de contêiner fornecida pelo Gerenciamento de Vulnerabilidades do Microsoft Defender serão cobradas apenas uma vez.
As recomendações da Qualys para Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuam disponíveis para clientes que habilitaram o Defender for Containers em qualquer uma de suas assinaturas antes desta versão. Os novos clientes que integrarem o Defender for Containers após esta versão verão apenas as novas recomendações de avaliação de vulnerabilidade de contêineres fornecidas pelo Microsoft Defender Vulnerability Management.
Visualização pública do suporte do Windows para Avaliação de Vulnerabilidade de Contêineres fornecida pelo Gerenciamento de Vulnerabilidades do Microsoft Defender
14 de dezembro de 2023
O suporte para imagens do Windows foi lançado em pré-visualização pública como parte da Avaliação de vulnerabilidades (VA) fornecida pelo Microsoft Defender Vulnerability Management para registos de contentores do Azure e Serviços Kubernetes do Azure.
Aposentadoria da avaliação de vulnerabilidade de contêineres da AWS com tecnologia Trivy
13 de dezembro de 2023
A avaliação de vulnerabilidade de contêineres promovida pela Trivy está agora em um caminho de aposentadoria a ser concluído até 13 de fevereiro. Esse recurso agora foi preterido e continuará disponível para os clientes existentes que usam esse recurso até 13 de fevereiro. Incentivamos os clientes que usam esse recurso a atualizar para a nova avaliação de vulnerabilidade de contêiner da AWS fornecida pelo Microsoft Defender Vulnerability Management até 13 de fevereiro.
Postura de contêiner sem agente para AWS no Defender for Containers e no Defender CSPM (visualização)
13 de dezembro de 2023
Os novos recursos de postura de contêiner sem agente (Preview) estão disponíveis para a AWS. Para obter mais informações, consulte Postura de contêiner sem agente no Defender CSPM e Recursos sem agente no Defender for Containers.
Suporte de disponibilidade geral para PostgreSQL Flexible Server no Defender para plano de bancos de dados relacionais de código aberto
13 de dezembro de 2023
Estamos anunciando a versão de disponibilidade geral (GA) do suporte ao PostgreSQL Flexible Server no plano Microsoft Defender para bancos de dados relacionais de código aberto. Microsoft Defender for open-source relational databases provides advanced threat protection to PostgreSQL Flexible Servers, by detecting anomalous activities and generating security alerts.
Saiba como habilitar o Microsoft Defender para bancos de dados relacionais de código aberto.
A avaliação de vulnerabilidade de contêineres fornecida pelo Microsoft Defender Vulnerability Management agora é compatível com o Google Distroless
12 de dezembro de 2023
As avaliações de vulnerabilidade de contêineres fornecidas pelo Microsoft Defender Vulnerability Management foram ampliadas com mais cobertura para pacotes de sistema operacional Linux, agora suportando Google Distroless.
Para obter uma lista de todos os sistemas operativos suportados, consulte Suporte de registos e imagens para o Azure - Avaliação de vulnerabilidades fornecida pela Gestão de Vulnerabilidades do Microsoft Defender.
November 2023
Quatro alertas foram preteridos
30 de novembro de 2023
Como parte do nosso processo de melhoria da qualidade, os seguintes alertas de segurança foram preteridos:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilidade geral de verificação de segredos sem agente no Defender for Servers e no Defender CSPM
27 de novembro de 2023
A verificação de segredos sem agente aprimora as máquinas virtuais (VM) baseadas em nuvem de segurança identificando segredos de texto sem formatação em discos de VM. A verificação de segredos sem agente fornece informações abrangentes para ajudar a priorizar as descobertas detetadas e mitigar os riscos de movimento lateral antes que eles ocorram. Essa abordagem proativa impede o acesso não autorizado, garantindo que seu ambiente de nuvem permaneça seguro.
Estamos anunciando a Disponibilidade Geral (GA) de verificação de segredos sem agente, que está incluída nos planos Defender for Servers P2 e Defender CSPM .
A verificação de segredos sem agente utiliza APIs na nuvem para capturar instantâneos de seus discos, conduzindo análises fora de banda que garantem que não haja efeito no desempenho da sua VM. A verificação de segredos sem agente amplia a cobertura oferecida pelo Defender for Cloud sobre ativos de nuvem em ambientes Azure, AWS e GCP para melhorar sua segurança na nuvem.
Com esta versão, os recursos de deteção do Defender for Cloud agora suportam outros tipos de banco de dados, URLs assinadas de armazenamento de dados, tokens de acesso e muito mais.
Saiba como gerenciar segredos com a verificação de segredos sem agente.
Habilite o gerenciamento de permissões com o Defender for Cloud (Visualização)
22 de novembro de 2023
A Microsoft agora oferece soluções CNAPP (Cloud-Native Application Protection Platforms) e CIEM (Cloud Infrastructure Entitlement Management) com o Microsoft Defender for Cloud (CNAPP) e o gerenciamento de permissões do Microsoft Entra (CIEM).
Os administradores de segurança podem obter uma visão centralizada de suas permissões de acesso não utilizadas ou excessivas no Defender for Cloud.
As equipes de segurança podem gerar os controles de acesso com privilégios mínimos para recursos de nuvem e receber recomendações acionáveis para resolver riscos de permissões em ambientes de nuvem do Azure, AWS e GCP como parte do Defender Cloud Security Posture Management (CSPM), sem requisitos adicionais de licenciamento.
Saiba como Habilitar o gerenciamento de permissões no Microsoft Defender for Cloud (Visualização).
Integração do Defender for Cloud com o ServiceNow
22 de novembro de 2023
O ServiceNow agora está integrado ao Microsoft Defender for Cloud, que permite que os clientes conectem o ServiceNow ao ambiente do Defender for Cloud para priorizar a correção de recomendações que afetam seus negócios. O Microsoft Defender para a Cloud integra-se com o módulo ITSM (gestão de incidentes). Como parte dessa conexão, os clientes podem criar/visualizar tíquetes do ServiceNow (vinculados a recomendações) do Microsoft Defender for Cloud.
Saiba mais sobre a integração do Defender for Cloud com o ServiceNow.
Disponibilidade geral do processo de provisionamento automático para SQL Servers em máquinas
20 de novembro de 2023
Em preparação para a substituição do Microsoft Monitoring Agent (MMA) em agosto de 2024, o Defender for Cloud lançou um processo de autoprovisionamento do Azure Monitoring Agent (AMA) direcionado ao SQL Server. O novo processo é automaticamente habilitado e configurado para todos os novos clientes e também fornece a capacidade de habilitação em nível de recurso para VMs SQL do Azure e SQL Servers habilitados para Arc.
Os clientes que usam o processo de provisionamento automático do MMA são solicitados a migrar para o novo processo de provisionamento automático do Agente de Monitoramento do Azure para SQL Server em máquinas. O processo de migração é integrado e fornece proteção contínua a todas as máquinas.
Disponibilidade geral do Defender for APIs
15 de novembro de 2023
Estamos anunciando a disponibilidade geral (GA) do Microsoft Defender para APIs. O Defender for APIs foi projetado para proteger as organizações contra ameaças à segurança da API.
O Defender for APIs permite que as organizações protejam suas APIs e dados de agentes mal-intencionados. As organizações podem investigar e melhorar sua postura de segurança de API, priorizar correções de vulnerabilidades e detetar e responder rapidamente a ameaças ativas em tempo real. As organizações também podem integrar alertas de segurança diretamente em sua plataforma de Gerenciamento de Incidentes e Eventos de Segurança (SIEM), por exemplo, o Microsoft Sentinel, para investigar e triar problemas.
Você pode aprender como proteger suas APIs com o Defender for APIs. Você também pode saber mais sobre Sobre o Microsoft Defender para APIs.
You can also read this blog to learn more about the GA announcement.
O Defender for Cloud está agora integrado com o Microsoft 365 Defender (Pré-visualização)
15 de novembro de 2023
As empresas podem proteger seus recursos e dispositivos de nuvem com a nova integração entre o Microsoft Defender for Cloud e o Microsoft Defender XDR. Essa integração conecta os pontos entre recursos de nuvem, dispositivos e identidades, que antes exigiam várias experiências.
A integração também traz recursos competitivos de proteção na nuvem para o dia a dia do Security Operations Center (SOC). Com o Microsoft Defender XDR, as equipes SOC podem descobrir facilmente ataques que combinam deteções de vários pilares, incluindo Cloud, Endpoint, Identity, Office 365 e muito mais.
Alguns dos principais benefícios incluem:
Uma interface fácil de usar para equipes SOC: Com os alertas e correlações de nuvem do Defender for Cloud integrados ao M365D, as equipes SOC agora podem acessar todas as informações de segurança a partir de uma única interface, melhorando significativamente a eficiência operacional.
Uma história de ataque: os clientes são capazes de entender a história completa de ataque, incluindo seu ambiente de nuvem, usando correlações pré-criadas que combinam alertas de segurança de várias fontes.
Novas entidades de nuvem no Microsoft Defender XDR: o Microsoft Defender XDR agora oferece suporte a novas entidades de nuvem que são exclusivas do Microsoft Defender for Cloud, como recursos de nuvem. Os clientes podem fazer a correspondência entre entidades de máquina virtual (VM) e entidades de dispositivo, fornecendo uma exibição unificada de todas as informações relevantes sobre uma máquina, incluindo alertas e incidentes que foram acionados nela.
API unificada para produtos de segurança da Microsoft: os clientes agora podem exportar seus dados de alertas de segurança para seus sistemas de escolha usando uma única API, já que os alertas e incidentes do Microsoft Defender for Cloud agora fazem parte da API pública do Microsoft Defender XDR.
A integração entre o Defender for Cloud e o Microsoft Defender XDR está disponível para todos os clientes novos e existentes do Defender for Cloud.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres fornecida pelo Microsoft Defender Vulnerability Management (MDVM) no Defender for Containers e no Defender for Container Registries
15 de novembro de 2023
A avaliação de vulnerabilidades (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management (MDVM) é liberada para disponibilidade geral (GA) no Defender for Containers e no Defender for Container Registries.
Como parte dessa alteração, as seguintes recomendações foram lançadas para GA e renomeadas, e agora estão incluídas no cálculo de pontuação segura:
| Nome da recomendação atual | Novo nome de recomendação | Description | Assessment key |
|---|---|---|---|
| As imagens do Registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | As avaliações de vulnerabilidade de imagem de contêiner verificam seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornecem um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Container image scan powered by MDVM now also incur charges as per plan pricing.
Note
As imagens digitalizadas tanto pela nossa oferta de VA de contêiner alimentada pela Qualys quanto pela oferta de VA de contêiner alimentada por MDVM, serão cobradas apenas uma vez.
As recomendações abaixo da Qualys para Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuarão disponíveis para clientes que habilitaram o Defender for Containers em qualquer uma de suas assinaturas antes de 15 de novembro. Os novos clientes que integrarem o Defender for Containers após 15 de novembro verão apenas as novas recomendações de avaliação de vulnerabilidade do Container fornecidas pelo Microsoft Defender Vulnerability Management.
| Nome da recomendação atual | Novo nome de recomendação | Description | Assessment key |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas - (powered by Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Alterar para nomes de recomendação de Avaliações de Vulnerabilidade de Contêiner
As seguintes recomendações de Avaliação de Vulnerabilidade de Contêiner foram renomeadas:
| Nome da recomendação atual | Novo nome de recomendação | Description | Assessment key |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas - (powered by Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
| As imagens do Registro de contêiner elástico devem ter as descobertas de vulnerabilidade resolvidas | As imagens de contêiner de registro da AWS devem ter vulnerabilidades resolvidas - (com tecnologia Trivy) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
A priorização de riscos já está disponível para recomendações
15 de novembro de 2023
Agora você pode priorizar suas recomendações de segurança de acordo com o nível de risco que elas representam, levando em consideração a capacidade de exploração e o potencial efeito comercial de cada problema de segurança subjacente.
Ao organizar suas recomendações com base em seu nível de risco (crítico, alto, médio, baixo), você é capaz de lidar com os riscos mais críticos em seu ambiente e priorizar de forma eficiente a correção de problemas de segurança com base no risco real, como exposição à Internet, sensibilidade de dados, possibilidades de movimento lateral e possíveis caminhos de ataque que poderiam ser mitigados com a resolução das recomendações.
Learn more about risk prioritization.
Análise de trajetória de ataque, novo mecanismo e aprimoramentos extensivos
15 de novembro de 2023
Estamos lançando aprimoramentos nos recursos de análise de caminho de ataque no Defender for Cloud.
New engine - attack path analysis has a new engine, which uses path-finding algorithm to detect every possible attack path that exists in your cloud environment (based on the data we have in our graph). Podemos encontrar muitos mais caminhos de ataque em seu ambiente e detetar padrões de ataque mais complexos e sofisticados que os invasores podem usar para invadir sua organização.
Improvements - The following improvements are released:
- Risk prioritization - prioritized list of attack paths based on risk (exploitability & business affect).
- Enhanced remediation - pinpointing the specific recommendations that should be resolved to actually break the chain.
- Caminhos de ataque entre nuvens – deteção de caminhos de ataque que são nuvens cruzadas (caminhos que começam em uma nuvem e terminam em outra).
- MITRE – Mapping all attack paths to the MITRE framework.
- Experiência do usuário atualizada – experiência atualizada com recursos mais fortes: filtros avançados, pesquisa e agrupamento de caminhos de ataque para permitir uma triagem mais fácil.
Saiba como identificar e corrigir caminhos de ataque.
Alterações no esquema de tabela do Gráfico de Recursos do Azure do Caminho de Ataque
15 de novembro de 2023
O esquema de tabela do Azure Resource Graph do caminho de ataque é atualizado. A attackPathType propriedade é removida e outras propriedades são adicionadas.
Versão de disponibilidade geral do suporte ao GCP no Defender CSPM
15 de novembro de 2023
Estamos anunciando a versão GA (General Availability) do gráfico de segurança contextual na nuvem Defender CSPM e análise de caminho de ataque com suporte para recursos GCP. Você pode aplicar o poder do Defender CSPM para visibilidade abrangente e segurança inteligente na nuvem em todos os recursos do GCP.
Os principais recursos do nosso suporte GCP incluem:
- Análise de caminho de ataque - Entenda as rotas potenciais que os invasores podem tomar.
- Explorador de segurança na nuvem - Identifique proativamente os riscos de segurança executando consultas baseadas em gráficos no gráfico de segurança.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Postura de segurança com reconhecimento de dados - Descubra e corrija riscos para dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções do plano Defender CSPM.
Note
O faturamento para a versão GA do suporte GCP no Defender CSPM começará em 1º de fevereiro de 2024.
Versão de disponibilidade geral do painel de segurança de dados
15 de novembro de 2023
O painel de segurança de dados agora está disponível em Disponibilidade Geral (GA) como parte do plano Defender CSPM.
O painel de segurança de dados permite que você visualize o patrimônio de dados da sua organização, os riscos para dados confidenciais e informações sobre seus recursos de dados.
Saiba mais sobre o painel de segurança de dados.
Versão de disponibilidade geral da descoberta de dados confidenciais para bancos de dados
15 de novembro de 2023
A descoberta de dados confidenciais para bancos de dados gerenciados, incluindo bancos de dados SQL do Azure e instâncias do AWS RDS (todos os tipos RDBMS), agora está disponível em geral e permite a descoberta automática de bancos de dados críticos que contêm dados confidenciais.
Para habilitar esse recurso em todos os armazenamentos de dados suportados em seus ambientes, você precisa habilitar Sensitive data discovery no Defender CSPM. Saiba como habilitar a descoberta de dados confidenciais no Defender CSPM.
Você também pode aprender como a descoberta de dados confidenciais é usada na postura de segurança com reconhecimento de dados.
Anúncio do Public Preview: Nova visibilidade expandida da segurança de dados multicloud no Microsoft Defender for Cloud.
Nova versão da recomendação para encontrar atualizações do sistema ausentes agora é GA
6 de novembro de 2023
Um agente extra não é mais necessário em suas VMs do Azure e máquinas Azure Arc para garantir que as máquinas tenham todas as atualizações críticas ou de segurança mais recentes do sistema.
The new system updates recommendation, System updates should be installed on your machines (powered by Azure Update Manager) in the Apply system updates control, is based on the Update Manager and is now fully GA. A recomendação depende de um agente nativo incorporado em cada VM do Azure e máquinas Azure Arc em vez de um agente instalado. A correção rápida na nova recomendação direciona você para uma instalação única das atualizações ausentes no portal do Update Manager.
A versão antiga e a nova das recomendações para encontrar atualizações de sistema ausentes estarão disponíveis até agosto de 2024, que é quando a versão mais antiga foi preterida. Ambas as recomendações: System updates should be installed on your machines (powered by Azure Update Manager)e System updates should be installed on your machines estão disponíveis sob o mesmo controlo: Apply system updates e tem os mesmos resultados. Assim, não há duplicação no efeito sobre a pontuação segura.
Recomendamos migrar para a nova recomendação e remover a antiga, desativando-a da iniciativa interna do Defender for Cloud na política do Azure.
A recomendação [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) também é GA e é um pré-requisito, o que terá um efeito negativo no seu Secure Score. Você pode corrigir o efeito negativo com a correção disponível.
Para aplicar a nova recomendação, é necessário:
- Conecte suas máquinas que não são do Azure ao Arc.
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)para corrigir a recomendação.
Note
A habilitação de avaliações periódicas para máquinas habilitadas para Arc que o Defender for Servers Plan 2 não está habilitado em sua Assinatura ou Conector relacionado está sujeita aos preços do Azure Update Manager. As máquinas habilitadas para Arc que o Defender for Servers Plan 2 está habilitado em sua Assinatura ou Conectores relacionados, ou qualquer VM do Azure, são qualificadas para esse recurso sem custo adicional.
October 2023
Alterar o aplicativo adaptável controla a gravidade do alerta de segurança
Data do anúncio: 30 de outubro de 2023
Como parte do processo de melhoria da qualidade do alerta de segurança do Defender for Servers e como parte do recurso de controles de aplicativos adaptáveis, a gravidade do seguinte alerta de segurança está mudando para "Informativo":
| Alerta [Tipo de alerta] | Alert Description |
|---|---|
| A violação da política de controle de aplicativos adaptáveis foi auditada. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos. |
To keep viewing this alert in the "Security alerts" page in the Microsoft Defender for Cloud portal, change the default view filter Severity to include informational alerts in the grid.
Revisões do Gerenciamento de API do Azure offline removidas do Defender for APIs
25 de outubro de 2023
O Defender for APIs atualizou seu suporte para revisões da API de Gerenciamento de API do Azure. As revisões offline não aparecem mais no inventário integrado do Defender for APIs e não parecem mais estar integradas ao Defender for APIs. As revisões off-line não permitem que nenhum tráfego seja enviado para eles e não representam nenhum risco do ponto de vista da segurança.
Recomendações de gerenciamento de postura de segurança do DevOps disponíveis em visualização pública
19 de outubro de 2023
Novas recomendações de gerenciamento de postura de DevOps agora estão disponíveis em visualização pública para todos os clientes com um conector para Azure DevOps ou GitHub. O gerenciamento de postura de DevOps ajuda a reduzir a superfície de ataque de ambientes de DevOps, descobrindo fraquezas nas configurações de segurança e controles de acesso. Saiba mais sobre o gerenciamento de postura de DevOps.
Lançando o CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulatória
18 de outubro de 2023
O Microsoft Defender for Cloud agora oferece suporte ao mais recente CIS Azure Security Foundations Benchmark - versão 2.0.0 no painel Conformidade Regulatória e uma iniciativa de política interna na Política do Azure. O lançamento da versão 2.0.0 no Microsoft Defender for Cloud é um esforço colaborativo conjunto entre a Microsoft, o Center for Internet Security (CIS) e as comunidades de usuários. A versão 2.0.0 expande significativamente o escopo de avaliação, que agora inclui 90+ políticas internas do Azure e sucede as versões anteriores 1.4.0 e 1.3.0 e 1.0 no Microsoft Defender for Cloud e na Política do Azure. For more information, you can check out this blog post.
September 2023
Alterar para o limite diário do Log Analytics
O monitor do Azure oferece a capacidade de definir um limite diário para os dados ingeridos em seus espaços de trabalho de análise de Log. No entanto, os eventos de segurança do Defenders for Cloud atualmente não são suportados nessas exclusões.
O limite diário do Log Analytics não exclui mais o seguinte conjunto de tipos de dados:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Todos os tipos de dados faturáveis serão limitados se o limite diário for atingido. Essa alteração melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.
Saiba mais sobre espaços de trabalho com o Microsoft Defender for Cloud.
Painel de segurança de dados disponível em pré-visualização pública
27 de setembro de 2023
O painel de segurança de dados agora está disponível em visualização pública como parte do plano Defender CSPM. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina riscos significativos para dados confidenciais, priorizando alertas e possíveis caminhos de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.
Versão prévia: Novo processo de provisionamento automático para o SQL Server em máquinas plano
21 de setembro de 2023
O Microsoft Monitoring Agent (MMA) será preterido em agosto de 2024. O Defender for Cloud atualizou sua estratégia substituindo o MMA pelo lançamento de um processo de autoprovisionamento do Agente de Monitoramento do Azure direcionado ao SQL Server.
Durante a visualização, os clientes que estão usando o processo de provisionamento automático do MMA com a opção Azure Monitor Agent (Preview) são solicitados a migrar para o novo processo de autoprovisionamento do Azure Monitoring Agent for SQL Server on machines (Preview). O processo de migração é integrado e fornece proteção contínua a todas as máquinas.
Para obter mais informações, consulte Migrar para o processo de autoprovisionamento do Agente de Monitoramento do Azure direcionado ao SQL Server.
Alertas do GitHub Advanced Security for Azure DevOps no Defender for Cloud
20 de setembro de 2023
Agora você pode exibir alertas do GitHub Advanced Security for Azure DevOps (GHAzDO) relacionados ao CodeQL, segredos e dependências no Defender for Cloud. Os resultados são exibidos na página DevOps e em Recomendações. Para ver esses resultados, integre seus repositórios habilitados para GHAzDO ao Defender for Cloud.
Saiba mais sobre o GitHub Advanced Security for Azure DevOps.
Funcionalidade isenta agora disponível para recomendações do Defender for APIs
11 de setembro de 2023
Agora você pode isentar as recomendações para as seguintes recomendações de segurança do Defender for APIs.
| Recommendation | Descrição da política relacionada com & | Severity |
|---|---|---|
| (Pré-visualização) Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas acidentalmente foram deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | Low |
| (Pré-visualização) Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a execução da autenticação por meio das Chaves de Assinatura, JWT e Certificado de Cliente configuradas no Gerenciamento de API do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação. | High |
Saiba mais sobre recomendações de isenção no Defender for Cloud.
Criar alertas de exemplo para deteções do Defender for APIs
11 de setembro de 2023
Agora você pode gerar alertas de exemplo para as deteções de segurança que foram lançadas como parte da visualização pública do Defender for APIs. Saiba mais sobre como gerar alertas de exemplo no Defender for Cloud.
Versão prévia: a avaliação de vulnerabilidade de contêineres fornecida pelo Microsoft Defender Vulnerability Management agora suporta varredura ao pull
6 de setembro de 2023
A avaliação de vulnerabilidade de contêineres fornecida pelo Microsoft Defender Vulnerability Management agora oferece suporte a um gatilho adicional para a verificação de imagens extraídas de um ACR. Este gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes digitalizando imagens enviadas para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.
O novo gatilho começará a ser lançado hoje e deverá estar disponível para todos os clientes até o final de setembro.
Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
6 de setembro de 2023
O formato de nomenclatura dos benchmarks de fundamentos do CIS (Center for Internet Security) no painel de conformidade é alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Veja a seguinte tabela:
| Current Name | New Name |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Fundações v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Fundações v1.2.0 |
Saiba como melhorar a sua conformidade regulamentar.
Descoberta de dados confidenciais para bancos de dados PaaS (Visualização)
5 de setembro de 2023
Os recursos de postura de segurança com reconhecimento de dados para descoberta de dados confidenciais sem atrito para bancos de dados PaaS (bancos de dados SQL do Azure e instâncias do Amazon RDS de qualquer tipo) agora estão em visualização pública. Essa visualização pública permite que você crie um mapa de seus dados críticos onde quer que eles residam e o tipo de dados encontrados nesses bancos de dados.
A descoberta de dados confidenciais para bancos de dados do Azure e da AWS aumenta a taxonomia e a configuração compartilhadas, que já estão disponíveis publicamente para recursos de armazenamento de objetos na nuvem (Armazenamento de Blobs do Azure, buckets do AWS S3 e buckets de armazenamento do GCP) e fornece uma única experiência de configuração e habilitação.
As bases de dados são analisadas semanalmente. Se você habilitar sensitive data discoveryo , a descoberta será executada dentro de 24 horas. Os resultados podem ser visualizados no Cloud Security Explorer ou revisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.
A postura de segurança com reconhecimento de dados para bancos de dados está disponível por meio do planoopção está habilitada.
Você pode saber mais sobre a postura de segurança com reconhecimento de dados nos seguintes artigos:
- Suporte e pré-requisitos para uma postura de segurança com reconhecimento de dados
- Habilite a postura de segurança com reconhecimento de dados
- Explore os riscos para dados confidenciais
Disponibilidade Geral (GA): verificação de malware no Defender for Storage
1 de setembro de 2023
A verificação de malware agora está disponível ao público em geral (GA) como um complemento do Defender for Storage. A verificação de malware no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. O recurso de verificação de malware é uma solução SaaS sem agente que permite a configuração em escala e suporta a automação da resposta em escala.
Saiba mais sobre a verificação de malware no Defender for Storage.
O preço da verificação de malware é calculado de acordo com o seu uso de dados e orçamento. O faturamento começa em 3 de setembro de 2023. Visit the pricing page for more information.
Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.
Leia a postagem do blog de anúncio do Microsoft Defender for Cloud.
August 2023
As atualizações em agosto incluem:
Defender for Containers: descoberta sem agente para Kubernetes
30 de agosto de 2023
Temos o prazer de apresentar o Defender For Containers: Agentless discovery for Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos de inventário abrangentes para ambientes Kubernetes. A nova oferta de contêineres é alimentada pelo gráfico de segurança contextual do Defender for Cloud. Aqui está o que você pode esperar desta última atualização:
- Descoberta do Kubernetes sem agente
- Recursos abrangentes de inventário
- Informações de segurança específicas do Kubernetes
- Caça ao risco aprimorada com o Cloud Security Explorer
A descoberta sem agente para Kubernetes agora está disponível para todos os clientes do Defender For Containers. Você pode começar a usar esses recursos avançados hoje mesmo. Encorajamo-lo a atualizar as suas subscrições para ter o conjunto completo de extensões ativado e beneficiar das mais recentes adições e funcionalidades. Visite o painel Ambiente e configurações da sua assinatura do Defender for Containers para habilitar a extensão.
Note
Habilitar as adições mais recentes não incorrerá em novos custos para os clientes ativos do Defender for Containers.
Para obter mais informações, consulte Visão geral da segurança de contêineres Microsoft Defender for Containers.
Versão de recomendação: O Microsoft Defender for Storage deve ser habilitado com verificação de malware e deteção de ameaças de dados confidenciais
22 de agosto de 2023
Uma nova recomendação no Defender for Storage foi lançada. Essa recomendação garante que o Defender for Storage esteja habilitado no nível de assinatura com recursos de verificação de malware e deteção de ameaças de dados confidenciais.
| Recommendation | Description |
|---|---|
| O Microsoft Defender for Storage deve ser habilitado com verificação de malware e deteção de ameaças de dados confidenciais | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. Com uma configuração simples sem agente em escala, quando ativada no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas sob essa assinatura serão automaticamente protegidas. Também pode excluir contas de armazenamento específicas de subscrições protegidas. |
Esta nova recomendação substitui a atual recomendação Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, essa recomendação ainda estará disponível nas nuvens do Azure Government.
Saiba mais sobre o Microsoft Defender for Storage.
As propriedades estendidas nos alertas de segurança do Defender for Cloud são mascaradas dos registros de atividades
17 de agosto de 2023
Recentemente, alterámos a forma como os alertas de segurança e os registos de atividades são integrados. Para proteger melhor as informações confidenciais dos clientes, não incluímos mais essas informações nos registros de atividades. Em vez disso, mascaramo-lo com asteriscos. No entanto, essas informações ainda estão disponíveis por meio da API de alertas, da exportação contínua e do portal do Defender for Cloud.
Os clientes que dependem de registros de atividades para exportar alertas para suas soluções SIEM devem considerar o uso de uma solução diferente, pois não é o método recomendado para exportar alertas de segurança do Defender for Cloud.
Para obter instruções sobre como exportar alertas de segurança do Defender for Cloud para SIEM, SOAR e outros aplicativos de terceiros, consulte Transmitir alertas para uma solução SIEM, SOAR ou IT Service Management.
Versão prévia do suporte ao GCP no Defender CSPM
15 de agosto de 2023
Estamos anunciando a versão prévia do gráfico de segurança contextual na nuvem do Defender CSPM e da análise de caminho de ataque com suporte para recursos do GCP. Você pode aplicar o poder do Defender CSPM para visibilidade abrangente e segurança inteligente na nuvem em todos os recursos do GCP.
Os principais recursos do nosso suporte GCP incluem:
- Análise de caminho de ataque - Entenda as rotas potenciais que os invasores podem tomar.
- Explorador de segurança na nuvem - Identifique proativamente os riscos de segurança executando consultas baseadas em gráficos no gráfico de segurança.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Postura de segurança com reconhecimento de dados - Descubra e corrija riscos para dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções do plano Defender CSPM.
Novos alertas de segurança no Defender for Servers Plano 2: Detetar potenciais ataques que abusam das extensões de máquina virtual do Azure
7 de agosto de 2023
Esta nova série de alertas concentra-se na deteção de atividades suspeitas de extensões de máquina virtual do Azure e fornece informações sobre as tentativas dos atacantes de comprometer e executar atividades maliciosas nas suas máquinas virtuais.
O Microsoft Defender for Servers agora pode detetar atividades suspeitas das extensões de máquina virtual, permitindo que você obtenha uma melhor cobertura da segurança das cargas de trabalho.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por agentes de ameaças para várias intenções maliciosas, por exemplo:
- Para recolha e monitorização de dados.
- Para execução de código e implantação de configuração com altos privilégios.
- Para redefinir credenciais e criar usuários administrativos.
- Para encriptar discos.
Aqui está uma tabela dos novos alertas.
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Falha suspeita ao instalar a extensão GPU na sua subscrição (Pré-visualização) (VM_GPUExtensionSuspiciousFailure) |
Intenção suspeita de instalar uma extensão de GPU em VMs não suportadas. Esta extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, neste caso, as máquinas virtuais não estão equipadas com tal. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações de tal extensão para fins de mineração de criptomoedas. | Impact | Medium |
|
Foi detetada uma instalação suspeita de uma extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) Este alerta foi lançado em julho de 2023. |
A instalação suspeita de uma extensão de GPU foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. Esta atividade é considerada suspeita, uma vez que o comportamento do responsável se afasta dos seus padrões habituais. | Impact | Low |
|
Executar comando com um script suspeito foi detetado em sua máquina virtual (visualização) (VM_RunCommandSuspiciousScript) |
Um Comando Executar com um script suspeito foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
|
Foi detetada uma utilização suspeita não autorizada do Comando de Execução na sua máquina virtual (Pré-visualização) (VM_RunCommandSuspiciousFailure) |
O uso suspeito não autorizado do Run Command falhou e foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Comando Executar para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execution | Medium |
|
O uso suspeito do Comando de Execução foi detetado em sua máquina virtual (Visualização) (VM_RunCommandSuspiciousUsage) |
O uso suspeito do Run Command foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execution | Low |
|
Foi detetada uma utilização suspeita de várias extensões de monitorização ou recolha de dados nas suas máquinas virtuais (Pré-visualização) (VM_SuspiciousMultiExtensionUsage) |
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Este uso é considerado suspeito, pois não foi comumente visto antes. | Reconnaissance | Medium |
|
Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais (Pré-visualização) (VM_DiskEncryptionSuspiciousUsage) |
A instalação suspeita de extensões de criptografia de disco foi detetada em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem abusar da extensão de encriptação de disco para implementar encriptações de disco completas nas suas máquinas virtuais através do Azure Resource Manager numa tentativa de executar atividade de ransomware. Esta atividade é considerada suspeita, pois não foi comumente vista antes e devido ao alto número de instalações de extensão. | Impact | Medium |
|
Foi detetada uma utilização suspeita da extensão VM Access nas suas máquinas virtuais (Pré-visualização) (VM_VMAccessSuspiciousUsage) |
O uso suspeito da extensão VM Access foi detetado em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Persistence | Medium |
|
A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada na máquina virtual (Pré-visualização) (VM_DSCExtensionSuspiciousScript) |
A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
|
Foi detetada uma utilização suspeita de uma extensão de Configuração de Estado Desejado (DSC) nas suas máquinas virtuais (Pré-visualização) (VM_DSCExtensionSuspiciousUsage) |
O uso suspeito de uma extensão DSC (Configuração de Estado Desejado) foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Impact | Low |
|
Foi detetada uma extensão de script personalizada com um script suspeito na sua máquina virtual (Pré-visualização) (VM_CustomScriptExtensionSuspiciousCmd) (Este alerta já existe e foi melhorado com métodos lógicos e de deteção mais avançados.) |
A extensão de script personalizada com um script suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execution | High |
Consulte os alertas baseados em extensão no Defender for Servers.
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender for Cloud.
Modelo de negócios e atualizações de preços para os planos do Defender for Cloud
1 de agosto de 2023
O Microsoft Defender for Cloud tem três planos que oferecem proteção da camada de serviço:
Defender para Key Vault
Defender para Gestor de Recursos
Defender para DNS
Esses planos fizeram a transição para um novo modelo de negócios com preços e embalagens diferentes para atender ao feedback dos clientes em relação à previsibilidade de gastos e simplificação da estrutura geral de custos.
Modelo de negócio e resumo das alterações de preços:
Os clientes existentes do Defender for Key-Vault, do Defender for Resource Manager e do Defender for DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender for Resource Manager: Este plano tem um preço fixo por subscrição por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender for Resource Manager.
Os clientes existentes do Defender for Key-Vault, do Defender for Resource Manager e do Defender for DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender for Resource Manager: Este plano tem um preço fixo por subscrição por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender for Resource Manager.
- Defender for Key Vault: Este plano tem um preço fixo por cofre, por mês, sem cobrança de sobrecarga. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo do Defender for Key Vault por cofre
- Defender for DNS: Os clientes do Defender for Servers Plan 2 obtêm acesso ao valor do Defender for DNS como parte do Defender for Servers Plan 2 sem nenhum custo extra. Os clientes que têm o Defender for Server Plan 2 e o Defender for DNS não são mais cobrados pelo Defender for DNS. O Defender for DNS não está mais disponível como um plano autônomo.
Saiba mais sobre os preços desses planos na página de preços do Defender for Cloud.
July 2023
As atualizações em julho incluem:
Versão prévia da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
31 de julho de 2023
Estamos anunciando o lançamento da Avaliação de Vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management no Defender for Containers e Defender for Container Registries. A nova oferta de VA de contêiner será fornecida juntamente com nossa oferta existente de VA de contêiner alimentada pela Qualys no Defender for Containers e no Defender for Container Registries, e incluirá revarreduras diárias de imagens de contêineres, informações de exploração, suporte para SO e linguagens de programação (SCA) e muito mais.
Esta nova oferta começará a ser lançada hoje e espera-se que esteja disponível para todos os clientes até 7 de agosto.
Saiba mais sobre a avaliação de vulnerabilidade de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.
A postura do contêiner sem agente no Defender CSPM agora está disponível para o público em geral
30 de julho de 2023
Os recursos de postura de contêiner sem agente agora estão geralmente disponíveis (GA) como parte do plano Defender CSPM (Cloud Security Posture Management).
Saiba mais sobre a postura de contêiner sem agente no Defender CSPM.
Gerenciamento de atualizações automáticas para o Defender for Endpoint for Linux
20 de julho de 2023
Por padrão, o Defender for Cloud tenta atualizar seus agentes do Defender for Endpoint para Linux integrados com a MDE.Linux extensão. Com esta versão, você pode gerenciar essa configuração e desativar a configuração padrão para gerenciar seus ciclos de atualização manualmente.
Verificação de segredos sem agente para máquinas virtuais no Defender para servidores P2 & Defender CSPM
18 de julho de 2023
A verificação de segredos agora está disponível como parte da verificação sem agente no Defender for Servers P2 e no Defender CSPM. Esse recurso ajuda a detetar segredos não gerenciados e inseguros salvos em máquinas virtuais no Azure ou em recursos da AWS que podem ser usados para se mover lateralmente na rede. Se forem detetados segredos, o Defender for Cloud pode ajudar a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimentos laterais, tudo sem afetar o desempenho da sua máquina.
Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.
Novo alerta de segurança no plano 2 do Defender for Servers: detetar possíveis ataques aproveitando as extensões de driver de GPU da VM do Azure
12 de julho de 2023
Este alerta se concentra na identificação de atividades suspeitas aproveitando as extensões de driver de GPU da máquina virtual do Azure e fornece informações sobre as tentativas dos invasores de comprometer suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; tais extensões são frequentemente abusadas por agentes de ameaças para utilizar todo o poder da placa GPU e executar cryptojacking.
| Nome de exibição do alerta (Alert Type) |
Description | Severity | MITRE Tactic |
|---|---|---|---|
| Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) |
A instalação suspeita de uma extensão de GPU foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. | Low | Impact |
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender for Cloud.
Suporte para desativar descobertas de vulnerabilidade específicas
9 de julho de 2023
Liberação do suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Se você tiver uma necessidade organizacional de ignorar uma descoberta de vulnerabilidade na imagem do registro do contêiner, em vez de corrigi-la, opcionalmente poderá desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba como desativar as descobertas de avaliação de vulnerabilidade em imagens do Registro de contêiner.
A postura de segurança com reconhecimento de dados agora está disponível ao público em geral
1 de julho de 2023
A postura de segurança com reconhecimento de dados no Microsoft Defender for Cloud agora está disponível ao público em geral. Ele ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Com a postura de segurança com deteção de dados, pode:
- Descubra automaticamente recursos de dados confidenciais no Azure e na AWS.
- Avalie a sensibilidade dos dados, a exposição dos dados e como os dados fluem pela organização.
- Descubra de forma proativa e contínua os riscos que podem levar a violações de dados.
- Detetar atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais
Para obter mais informações, consulte Postura de segurança com reconhecimento de dados no Microsoft Defender for Cloud.
June 2023
As atualizações em junho incluem:
Integração simplificada de contas multicloud com configurações aprimoradas
26 de junho de 2023
O Defender for Cloud melhorou a experiência de integração para incluir uma nova interface de usuário simplificada e instruções, além de novos recursos que permitem integrar seus ambientes AWS e GCP enquanto fornecem acesso a recursos avançados de integração.
Para organizações que adotaram o Hashicorp Terraform para automação, o Defender for Cloud agora inclui a capacidade de usar o Terraform como método de implantação ao lado do AWS CloudFormation ou do GCP Cloud Shell. Agora você pode personalizar os nomes de função necessários ao criar a integração. Você também pode selecionar entre:
Default access - Allows Defender for Cloud to scan your resources and automatically include future capabilities.
Acesso menos privilegiado - Concede ao Defender for Cloud acesso apenas às permissões atuais necessárias para os planos selecionados.
Se você selecionar as permissões menos privilegiadas, receberá notificações apenas sobre quaisquer novas funções e permissões necessárias para obter funcionalidade completa na integridade do conector.
O Defender for Cloud permite que você distinga entre suas contas de nuvem por seus nomes nativos dos fornecedores de nuvem. Por exemplo, aliases de conta da AWS e nomes de projetos do GCP.
Suporte de ponto final privado para verificação de malware no Defender for Storage
25 de junho de 2023
O suporte ao Private Endpoint agora está disponível como parte da visualização pública de verificação de malware no Defender for Storage. Esse recurso permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma outra configuração é necessária.
A verificação de malware (visualização) no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero, e suporta a automatização da resposta em escala.
Os pontos de extremidade privados fornecem conectividade segura aos seus serviços de Armazenamento do Azure, eliminando efetivamente a exposição pública à Internet, e são considerados uma prática recomendada de segurança.
Para contas de armazenamento com pontos de extremidade privados que já têm a verificação de malware habilitada, você precisará desativar e habilitar o plano com verificação de malware para que isso funcione.
Learn more about using private endpoints in Defender for Storage and how to secure your storage services further.
Recomendação liberada para visualização: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management)
21 de junho de 2023
Uma nova recomendação de contêiner no Defender CSPM com tecnologia Microsoft Defender Vulnerability Management foi lançada para visualização:
| Recommendation | Description | Assessment Key |
|---|---|---|
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management)(Preview) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Esta nova recomendação substitui a atual recomendação de mesmo nome, alimentada pela Qualys, apenas no Defender CSPM (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).
Foram feitas atualizações de controle para os padrões NIST 800-53 em conformidade regulatória
15 de junho de 2023
Os padrões NIST 800-53 (R4 e R5) foram recentemente atualizados com alterações de controle na conformidade regulatória do Microsoft Defender for Cloud. The Microsoft-managed controls have been removed from the standard, and the information on the Microsoft responsibility implementation (as part of the cloud shared responsibility model) is now available only in the control details pane under Microsoft Actions.
Esses controles foram calculados anteriormente como controles aprovados, portanto, você pode ver uma queda significativa em sua pontuação de conformidade para os padrões NIST entre abril de 2023 e maio de 2023.
Para obter mais informações sobre controles de conformidade, consulte Tutorial: Verificações de conformidade regulatória - Microsoft Defender for Cloud.
O planejamento da migração para a nuvem com um caso de negócios do Azure Migrate agora inclui o Defender for Cloud
11 de junho de 2023
Agora você pode descobrir possíveis economias de custos em segurança aplicando o Defender for Cloud no contexto de um caso de negócios do Azure Migrate.
A configuração expressa para avaliações de vulnerabilidade no Defender for SQL agora está disponível para o público em geral
7 de junho de 2023
A configuração expressa para avaliações de vulnerabilidade no Defender for SQL agora está disponível ao público em geral. A configuração Express fornece uma experiência de integração simplificada para avaliações de vulnerabilidade SQL usando uma configuração de um clique (ou uma chamada de API). Não são necessárias configurações ou dependências extras em contas de armazenamento gerenciado.
Check out this blog to learn more about express configuration.
Você pode aprender as diferenças entre a configuração expressa e clássica.
Mais escopos adicionados aos Conectores de DevOps do Azure existentes
6 de junho de 2023
O Defender for DevOps adicionou os seguintes escopos extras ao aplicativo Azure DevOps (ADO):
Gestão de Segurança Avançada:
vso.advsec_manage. O que é necessário para permitir que você habilite, desative e gerencie o GitHub Advanced Security for ADO.Container Mapping:
vso.extension_manage,vso.gallery_manager; Which is needed in order to allow you to share the decorator extension with the ADO organization.
Somente os novos clientes do Defender for DevOps que estão tentando integrar recursos do ADO ao Microsoft Defender for Cloud são afetados por essa alteração.
A integração direta (sem o Azure Arc) ao Defender for Servers agora está disponível para o público em geral
5 de junho de 2023
Anteriormente, o Azure Arc era necessário integrar servidores que não eram do Azure ao Defender for Servers. No entanto, com a versão mais recente, você também pode integrar seus servidores locais ao Defender for Servers usando apenas o agente do Microsoft Defender for Endpoint.
Esse novo método simplifica o processo de integração para clientes focados na proteção de endpoint principal e permite que você aproveite a cobrança baseada no consumo do Defender for Servers para ativos na nuvem e fora da nuvem. A opção de integração direta via Defender for Endpoint já está disponível, com faturamento para máquinas embarcadas a partir de 1º de julho.
Para obter mais informações, consulte Conectar suas máquinas que não são do Azure ao Microsoft Defender for Cloud com o Defender for Endpoint.
Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no Defender CSPM
4 de junho de 2023
Com os recursos de postura de contêiner sem agente disponíveis no Defender CSPM, os recursos de descoberta baseados em agente agora foram desativados. If you currently use container capabilities within Defender CSPM, please make sure that the relevant extensions are enabled to continue receiving container-related value of the new agentless capabilities such as container-related attack paths, insights, and inventory. (Pode levar até 24 horas para ver os efeitos de ativar as extensões).
Saiba mais sobre a postura do recipiente sem agente.
May 2023
As atualizações em maio incluem:
- Um novo alerta no Defender for Key Vault.
- Suporte para varredura sem agente de discos criptografados na AWS.
- Alterações nas convenções de nomenclatura JIT (Just-In-Time) no Defender for Cloud.
- A integração de regiões selecionadas da AWS.
- Alterações nas recomendações de identidade.
- Descontinuação de padrões legados no painel de conformidade.
- Atualização de duas recomendações do Defender for DevOps para incluir as descobertas da verificação do Azure DevOps
- Nova configuração padrão para a solução de avaliação de vulnerabilidades do Defender for Servers.
- Capacidade de baixar um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Visualização).
- O lançamento da avaliação de vulnerabilidade de contêineres com o Microsoft Defender Vulnerability Management.
- A renomeação de recomendações de contêineres alimentado por Qualys.
- Uma atualização para o aplicativo GitHub do Defender for DevOps.
- Mude para anotações de solicitação pull do Defender for DevOps nos repositórios de DevOps do Azure que agora incluem Infraestrutura como configurações incorretas de código.
Novo alerta no Defender for Key Vault
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Acesso incomum ao cofre de chaves a partir de um IP suspeito (não Microsoft ou externo) (KV_UnusualAccessSuspiciousIP) |
Um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não seja da Microsoft nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Credential Access | Medium |
Para todos os alertas disponíveis, consulte Alertas para o Cofre de Chaves do Azure.
A verificação sem agente agora oferece suporte a discos criptografados na AWS
A verificação sem agente para VMs agora oferece suporte ao processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.
Esse suporte estendido aumenta a cobertura e a visibilidade sobre sua propriedade na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero em instâncias em execução.
- Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é incorporada e suportada por padrão.
- Para clientes existentes que já têm um conector da AWS com a verificação sem agente habilitada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo atualizado do CloudFormation inclui novas atribuições que permitem que o Defender for Cloud processe discos criptografados.
Você pode saber mais sobre as permissões usadas para verificar instâncias da AWS.
Para reaplicar sua pilha do CloudFormation:
- Vá para Configurações do ambiente do Defender for Cloud e abra o conector da AWS.
- Navigate to the Configure Access tab.
- Selecione Clique para baixar o modelo do CloudFormation.
- Navegue até seu ambiente da AWS e aplique o modelo atualizado.
Learn more about agentless scanning and enabling agentless scanning in AWS.
Convenções de nomenclatura de regras JIT (Just-In-Time) revisadas no Defender for Cloud
Revisamos as regras JIT (Just-In-Time) para alinhá-las com a marca Microsoft Defender for Cloud. Alteramos as convenções de nomenclatura para as regras do Firewall do Azure e do NSG (Grupo de Segurança de Rede).
As alterações estão listadas da seguinte forma:
| Description | Old Name | New Name |
|---|---|---|
| Nomes de regras JIT (permitir e negar) no NSG (Grupo de Segurança de Rede) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrições das regras JIT no NSG | Regra de acesso à rede ASC JIT | Regra de acesso à rede JIT MDC |
| Nomes de coleção de regras de firewall JIT | ASC-JIT | MDC-JIT |
| Nomes de regras de firewall JIT | ASC-JIT | MDC-JIT |
Saiba como proteger suas portas de gerenciamento com acesso Just-In-Time.
Integre regiões selecionadas da AWS
Para ajudá-lo a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS digitalizar ao adicionar ou editar um conector de nuvem. Agora você pode verificar regiões específicas da AWS selecionadas ou todas as regiões disponíveis (padrão) ao integrar suas contas da AWS ao Defender for Cloud. Saiba mais em Conecte sua conta da AWS ao Microsoft Defender for Cloud.
Várias alterações nas recomendações de identidade
As recomendações a seguir agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.
Versão de disponibilidade geral (GA) de recomendações de identidade V2
A versão V2 das recomendações de identidade introduz os seguintes aprimoramentos:
- O escopo da verificação foi expandido para incluir todos os recursos do Azure, não apenas assinaturas. Isso permite que os administradores de segurança visualizem atribuições de função por conta.
- Contas específicas podem agora ser isentas de avaliação. Contas como quebra-vidros ou contas de serviço podem ser excluídas pelos administradores de segurança.
- A frequência de varredura foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.
As seguintes recomendações de segurança estão disponíveis no GA e substituem as recomendações V1:
| Recommendation | Assessment Key |
|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Descontinuação das recomendações de identidade V1
As seguintes recomendações de segurança foram preteridas:
| Recommendation | Assessment Key |
|---|---|
| O MFA deve ser habilitado em contas com permissões de proprietário em assinaturas. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| O MFA deve ser habilitado em contas com permissões de gravação em assinaturas. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| O MFA deve ser habilitado em contas com permissões de leitura em assinaturas. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Contas externas com permissões de proprietário devem ser removidas das assinaturas. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Contas externas com permissões de gravação devem ser removidas das assinaturas. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Contas externas com permissões de leitura devem ser removidas das assinaturas. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Contas preteridas devem ser removidas de assinaturas | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações da V2.
Descontinuação de padrões herdados no painel de conformidade
O PCI DSS v3.2.1 herdado e o TSP SOC herdado foram totalmente preteridos no painel de conformidade do Defender for Cloud e substituídos pela iniciativa SOC 2 Tipo 2 e pelos padrões de conformidade baseados na iniciativa PCI DSS v4 . We have fully deprecated support of PCI DSS standard/initiative in Microsoft Azure operated by 21Vianet.
Saiba como personalizar o conjunto de normas no seu painel de conformidade regulamentar.
O Defender for DevOps inclui as descobertas da verificação do Azure DevOps
O Defender for DevOps Code e o IaC expandiram sua cobertura de recomendações no Microsoft Defender for Cloud para incluir as descobertas de segurança do Azure DevOps para as duas recomendações a seguir:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, a cobertura da verificação de segurança do Azure DevOps incluía apenas a recomendação de segredos.
Saiba mais sobre o Defender for DevOps.
Nova configuração padrão para a solução de avaliação de vulnerabilidade do Defender for Servers
As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger as máquinas de ciberataques e violações de dados.
O Gerenciamento de Vulnerabilidades do Microsoft Defender agora está habilitado como a solução interna padrão para todas as assinaturas protegidas pelo Defender for Servers que ainda não têm uma solução VA selecionada.
Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes dessa assinatura. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
Transferir um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Pré-visualização)
O Defender for Cloud adicionou a capacidade de baixar um relatório CSV dos resultados da consulta do explorador de segurança na nuvem.
Depois de executar uma pesquisa para uma consulta, você pode selecionar o botão Baixar relatório CSV (Visualização) na página Cloud Security Explorer no Defender for Cloud.
Saiba como criar consultas com o explorador de segurança na nuvem
A liberação da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
Estamos anunciando o lançamento da Avaliação de Vulnerabilidade para imagens do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management no Defender CSPM. Esta versão inclui a digitalização diária de imagens. As descobertas usadas no Security Explorer e nos caminhos de ataque dependem da Avaliação de Vulnerabilidade do Microsoft Defender, em vez do mecanismo de varredura Qualys.
A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:
| Recommendation | Description | Assessment Key |
|---|---|---|
| As imagens do Registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | DBD0CB49-B563-45E7-9724-889E799FA648 é substituído por C0B7CFC6-3172-465A-B378-53C7FF2CC0D5. |
Saiba mais sobre a postura de contêineres sem agente no Defender CSPM.
Saiba mais sobre o Gerenciamento de Vulnerabilidades do Microsoft Defender.
Renomeando recomendações de contêineres com tecnologia Qualys
As recomendações atuais de contêiner no Defender for Containers serão renomeadas da seguinte maneira:
| Recommendation | Description | Assessment Key |
|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Atualização do aplicativo Defender for DevOps GitHub
O Microsoft Defender for DevOps está constantemente fazendo alterações e atualizações que exigem que os clientes do Defender for DevOps que integraram seus ambientes GitHub no Defender for Cloud forneçam permissões como parte do aplicativo implantado em sua organização do GitHub. Essas permissões são necessárias para garantir que todos os recursos de segurança do Defender for DevOps funcionem normalmente e sem problemas.
Sugerimos atualizar as permissões o mais rápido possível para garantir o acesso contínuo a todos os recursos disponíveis do Defender for DevOps.
As permissões podem ser concedidas de duas maneiras diferentes:
In your organization, select GitHub Apps. Locate Your organization, and select Review request.
Você receberá um e-mail automatizado do Suporte do GitHub. No e-mail, selecione Rever pedido de permissão para aceitar ou rejeitar esta alteração.
Depois de seguir qualquer uma dessas opções, você será navegado para a tela de revisão, onde deverá analisar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.
Se precisar de assistência para atualizar permissões, você pode criar uma solicitação de suporte do Azure.
Você também pode saber mais sobre o Defender for DevOps. Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes dessa assinatura. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
As anotações do Defender for DevOps Pull Request nos repositórios do Azure DevOps agora incluem Infraestrutura como configurações incorretas de código
O Defender for DevOps expandiu sua cobertura de anotação de solicitação pull (PR) no Azure DevOps para incluir configurações incorretas de infraestrutura como código (IaC) que são detetadas nos modelos do Azure Resource Manager e Bicep.
Os desenvolvedores agora podem ver anotações para configurações incorretas do IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho na nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de gravidade, uma descrição de configuração incorreta e instruções de correção em cada anotação.
Anteriormente, a cobertura das anotações PR do Defender for DevOps no Azure DevOps incluía apenas segredos.
Saiba mais sobre o Defender for DevOps e as anotações Pull Request.
April 2023
As atualizações em abril incluem:
- Postura de contêiner sem agente no Defender CSPM (Visualização)
- Nova recomendação de pré-visualização da Encriptação Unificada de Disco
- Alterações na recomendação As máquinas devem ser configuradas de forma segura
- Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
- Novo alerta no Defender for Resource Manager
- Três alertas no plano do Defender for Resource Manager foram preteridos
- A exportação automática de alertas para o espaço de trabalho do Log Analytics foi preterida
- Descontinuação e melhoria de alertas selecionados para servidores Windows e Linux
- Novas recomendações relacionadas à autenticação do Azure Ative Directory para os Serviços de Dados do Azure
- Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
- Defender para APIs (Visualização)
Postura de contêiner sem agente no Defender CSPM (Visualização)
Os novos recursos Agentless Container Posture (Preview) estão disponíveis como parte do plano Defender CSPM (Cloud Security Posture Management).
O Agentless Container Posture permite que as equipes de segurança identifiquem riscos de segurança em contêineres e reinos do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade de seus registros de Kubernetes e contêineres em SDLC e tempo de execução, removendo o atrito e a pegada das cargas de trabalho.
O Agentless Container Posture oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise de caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades específicas de contêineres. Você também pode usar o explorador de segurança na nuvem para descobrir riscos e procurar informações sobre a postura do contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostas à Internet.
Saiba mais em Agentless Container Posture (Preview).
Recomendação de criptografia de disco unificada (visualização)
Há novas recomendações de criptografia de disco unificada na visualização.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Essas recomendações substituem Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detetou a Criptografia de Disco do Azure e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detetou EncryptionAtHost. ADE e EncryptionAtHost fornecem criptografia comparável em cobertura de repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detetam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiver habilitado. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).
As novas recomendações exigem a Configuração de Máquina de Gerenciamento Automático do Azure.
Estas recomendações baseiam-se nas seguintes políticas:
- (Pré-visualização) As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost
- (Pré-visualização) As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost
Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.
Alterações na recomendação As máquinas devem ser configuradas de forma segura
A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha sua experiência com o comportamento genérico das recomendações do Defender for Cloud.
Como parte desta atualização, o ID da recomendação foi alterado de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.
Nenhuma ação é necessária do lado do cliente e não há efeito esperado na pontuação segura.
Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
As seguintes políticas de monitoramento de idioma do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Deve sempre certificar-se de que está a utilizar uma versão linguística sem vulnerabilidades conhecidas.
| Policy name | Policy ID |
|---|---|
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar a 'versão Java' mais recente | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Os aplicativos do Serviço de Aplicativo que usam Python devem usar a 'versão do Python' mais recente | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos funcionais que usam Java devem usar a 'versão Java' mais recente | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Os aplicativos de função que usam Python devem usar a 'versão Python' mais recente | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar a 'versão do PHP' mais recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de idioma especificado para seus Serviços de Aplicativo.
Essas políticas não estão mais disponíveis nas recomendações integradas do Defender for Cloud. Você pode adicioná-los como recomendações personalizadas para que o Defender for Cloud os monitore.
Novo alerta no Defender for Resource Manager
O Defender for Resource Manager tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
PREVIEW - Criação suspeita de recursos computacionais detetada (ARM_SuspiciousComputeCreation) |
O Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Escala do Azure. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que o principal está comprometido e está sendo usado com intenção maliciosa. |
Impact | Medium |
Você pode ver uma lista de todos os alertas disponíveis para o Gerenciador de Recursos.
Três alertas no plano do Defender for Resource Manager foram preteridos
Os três alertas a seguir para o plano do Defender for Resource Manager foram preteridos:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Em um cenário em que a atividade de um endereço IP suspeito é detetada, um dos seguintes alertas do Defenders for Resource Manager alerta Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.
A exportação automática de alertas para o espaço de trabalho do Log Analytics foi preterida
Os alertas de segurança do Defenders for Cloud são exportados automaticamente para um espaço de trabalho padrão do Log Analytics no nível do recurso. Isso causa um comportamento indeterminista e, portanto, preterimos esse recurso.
Instead, you can export your security alerts to a dedicated Log Analytics workspace with Continuous Export.
Se você já configurou a exportação contínua de seus alertas para um espaço de trabalho do Log Analytics, nenhuma ação adicional será necessária.
Descontinuação e melhoria de alertas selecionados para servidores Windows e Linux
O processo de melhoria da qualidade do alerta de segurança para o Defender for Servers inclui a substituição de alguns alertas para servidores Windows e Linux. Os alertas preteridos agora são originados e cobertos pelos alertas de ameaça do Defender for Endpoint.
Se você já tiver a integração do Defender for Endpoint habilitada, nenhuma ação adicional será necessária. Você pode experimentar uma diminuição no volume de alertas em abril de 2023.
Se você não tiver a integração do Defender for Endpoint habilitada no Defender for Servers, precisará habilitar a integração do Defender for Endpoint para manter e melhorar sua cobertura de alerta.
Todos os clientes do Defender for Servers têm acesso total à integração do Defender for Endpoint como parte do plano Defender for Servers.
Você pode saber mais sobre as opções de integração do Microsoft Defender for Endpoint.
Você também pode exibir a lista completa de alertas que estão definidos para serem preteridos.
Leia o blog do Microsoft Defender for Cloud.
Novas recomendações relacionadas à autenticação do Azure Ative Directory para os Serviços de Dados do Azure
Adicionámos quatro novas recomendações de autenticação do Azure Ative Directory para os Serviços de Dados do Azure.
| Recommendation Name | Recommendation Description | Policy |
|---|---|---|
| O modo de autenticação da Instância Gerenciada SQL do Azure deve ser Somente o Azure Ative Directory | Desabilitar métodos de autenticação local e permitir apenas a Autenticação do Ative Directory do Azure melhora a segurança, garantindo que as Instâncias Gerenciadas SQL do Azure possam ser acessadas exclusivamente pelas identidades do Azure Ative Directory. | A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada |
| O modo de autenticação do Azure Synapse Workspace deve ser Somente Azure Ative Directory | Os métodos de autenticação somente do Ative Directory do Azure melhoram a segurança, garantindo que os Espaços de Trabalho Synapse exijam exclusivamente identidades do Azure AD para autenticação. Learn more. | Os Espaços de Trabalho Synapse devem usar apenas identidades do Azure Ative Directory para autenticação |
| O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Ative Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | Um administrador do Azure Ative Directory deve ser provisionado para servidores MySQL |
| O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Ative Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | Um administrador do Ative Directory do Azure deve ser provisionado para servidores PostgreSQL |
Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
As recomendações System updates should be installed on your machines (powered by Azure Update Manager) e Machines should be configured to periodically check for missing system updates foram liberadas para disponibilidade geral.
Para usar a nova recomendação, você precisa:
- Conecte suas máquinas que não são do Azure ao Arc.
-
Habilite a propriedade de avaliação periódica. You can use the Fix button.
na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
Depois de concluir essas etapas, você pode remover a recomendação System updates should be installed on your machinesantiga , desativando-a da iniciativa interna do Defender for Cloud na política do Azure.
As duas versões das recomendações:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarão disponíveis até que o agente do Log Analytics seja preterido em 31 de agosto de 2024, que é quando a versão mais antiga (System updates should be installed on your machines) da recomendação também será preterida. Ambas as recomendações retornam os mesmos resultados e estão disponíveis sob o mesmo controle Apply system updates.
A nova recomendação System updates should be installed on your machines (powered by Azure Update Manager) tem um fluxo de correção disponível através do botão Corrigir, que pode ser usado para corrigir quaisquer resultados através do Update Manager (Pré-visualização). Este processo de remediação ainda está em pré-visualização.
Não se espera que a nova recomendação System updates should be installed on your machines (powered by Azure Update Manager) afete o seu Secure Score, pois tem os mesmos resultados que a recomendação System updates should be installed on your machinesantiga.
A recomendação de pré-requisito (Ativar a propriedade de avaliação periódica) tem um efeito negativo no seu Secure Score. You can remediate the negative effect with the available Fix button.
Defender para APIs (Visualização)
O Defender for Cloud da Microsoft está anunciando que o novo Defender for APIs está disponível em pré-visualização.
O Defender for APIs oferece proteção de ciclo de vida completo, deteção e cobertura de resposta para APIs.
O Defender for APIs ajuda você a obter visibilidade sobre APIs críticas para os negócios. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidades e detetar rapidamente ameaças ativas em tempo real.
Saiba mais sobre o Defender for APIs.
March 2023
As atualizações em março incluem:
- Um novo plano do Defender for Storage está disponível, incluindo verificação de malware quase em tempo real e deteção de ameaças de dados confidenciais
- Postura de segurança com reconhecimento de dados (visualização)
- Experiência melhorada para gerir as políticas de segurança predefinidas do Azure
- O Defender CSPM (Cloud Security Posture Management) agora está disponível para o público em geral (GA)
- Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender for Cloud
- Microsoft cloud security benchmark (MCSB) versão 1.0 agora está disponível em geral (GA)
- Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
- Nova recomendação de pré-visualização para os SQL Servers do Azure
- Novo alerta no Defender for Key Vault
Um novo plano do Defender for Storage está disponível, incluindo verificação de malware quase em tempo real e deteção de ameaças de dados confidenciais
O armazenamento em nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje estamos anunciando um novo plano Defender for Storage. Se você estiver usando o plano anterior (agora renomeado para "Defender for Storage (clássico)"), precisará migrar proativamente para o novo plano para usar os novos recursos e benefícios.
O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Ele também fornece uma estrutura de preços mais previsível e flexível para um melhor controle sobre a cobertura e os custos.
O novo plano tem novas capacidades agora em pré-visualização pública:
Deteção de exposição de dados confidenciais e eventos de exfiltração
Verificação quase em tempo real de malware no upload de blob em todos os tipos de arquivos
Detetando entidades sem identidades usando tokens SAS
Esses recursos aprimoram a capacidade existente de monitoramento de atividades, com base na análise de log de controle e plano de dados e modelagem comportamental para identificar os primeiros sinais de violação.
Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece controle granular sobre a proteção de dados nos níveis de assinatura e recursos.
Saiba mais em Visão geral do Microsoft Defender for Storage.
Postura de segurança com reconhecimento de dados (visualização)
O Microsoft Defender for Cloud ajuda as equipes de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na nuvem. Ele permite que eles cortem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, evitando uma violação de dados dispendiosa.
- Descubra automaticamente recursos de dados na nuvem e avalie sua acessibilidade, sensibilidade de dados e fluxos de dados configurados. -Descobrir continuamente riscos de violações de dados de recursos de dados confidenciais, exposição ou caminhos de ataque que possam levar a um recurso de dados usando uma técnica de movimento lateral.
- Detete atividades suspeitas que possam indicar uma ameaça contínua a recursos de dados confidenciais.
Learn more about data-aware security posture.
Experiência melhorada para gerir as políticas de segurança predefinidas do Azure
Apresentamos uma experiência aprimorada de gerenciamento de políticas de segurança do Azure para recomendações internas que simplifica a maneira como os clientes do Defender for Cloud ajustam seus requisitos de segurança. A nova experiência inclui as seguintes novas capacidades:
- Uma interface simples permite um melhor desempenho e experiência ao gerenciar políticas de segurança padrão no Defender for Cloud.
- Uma visão única de todas as recomendações de segurança internas oferecidas pelo benchmark de segurança na nuvem da Microsoft (anteriormente o benchmark de segurança do Azure). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos cobertos e a relação entre parâmetros e recomendações.
- Novos recursos, como filtros e pesquisa, foram adicionados.
Saiba como gerir políticas de segurança.
Leia o blog do Microsoft Defender for Cloud.
O Defender CSPM (Cloud Security Posture Management) agora está disponível para o público em geral (GA)
Estamos anunciando que o Defender CSPM agora está disponível em geral (GA). O Defender CSPM oferece todos os serviços disponíveis sob os recursos do CSPM Foundational e adiciona os seguintes benefícios:
- Análise de caminho de ataque e API ARG - A análise de caminho de ataque usa um algoritmo baseado em gráfico que verifica o gráfico de segurança da nuvem para expor caminhos de ataque e sugere recomendações sobre a melhor forma de corrigir problemas que interrompem o caminho de ataque e evitar uma violação bem-sucedida. Você também pode consumir caminhos de ataque programaticamente consultando a API do Azure Resource Graph (ARG). Saiba como usar a análise de caminho de ataque
- Cloud Security explorer - Use o Cloud Security Explorer para executar consultas baseadas em gráficos no gráfico de segurança na nuvem, para identificar proativamente os riscos de segurança em seus ambientes multicloud. Saiba mais sobre o explorador de segurança na nuvem.
Learn more about Defender CSPM.
Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender for Cloud
O Microsoft Defender for Cloud oferece a opção de criar recomendações e padrões personalizados para AWS e GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas sobre seus dados. Esse recurso faz parte do plano Defender CSPM (Cloud Security Posture Management). Saiba como criar recomendações e padrões personalizados.
Microsoft cloud security benchmark (MCSB) versão 1.0 agora está disponível em geral (GA)
O Microsoft Defender for Cloud está anunciando que o Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está disponível em geral (GA).
O MCSB versão 1.0 substitui o Azure Security Benchmark (ASB) versão 3 como a política de segurança padrão do Defender for Cloud. O MCSB versão 1.0 aparece como o padrão de conformidade padrão no painel de conformidade e é habilitado por padrão para todos os clientes do Defender for Cloud.
Você também pode aprender como o Microsoft Cloud Security Benchmark (MCSB) ajuda você a ter sucesso em sua jornada de segurança na nuvem.
Learn more about MCSB.
Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
Estamos atualizando esses padrões para clientes no Azure Government e no Microsoft Azure operados pela 21Vianet.
Azure Government:
Microsoft Azure operado pela 21Vianet:
Saiba como Personalizar o conjunto de normas no seu painel de conformidade regulamentar.
Nova recomendação de pré-visualização para os SQL Servers do Azure
Adicionámos uma nova recomendação para os SQL Servers do Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
A recomendação baseia-se na política existente Azure SQL Database should have Azure Active Directory Only Authentication enabled
Esta recomendação desativa os métodos de autenticação local e permite apenas a Autenticação do Azure Ative Directory, o que melhora a segurança ao garantir que os Bancos de Dados SQL do Azure possam ser acessados exclusivamente pelas identidades do Azure Ative Directory.
Saiba como criar servidores com a autenticação somente do Azure AD habilitada no Azure SQL.
Novo alerta no Defender for Key Vault
O Defender for Key Vault tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Acesso negado de um IP suspeito a um cofre de chaves (KV_SuspiciousIPAccessDenied) |
Um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. | Credential Access | Low |
Você pode ver uma lista de todos os alertas disponíveis para o Cofre da Chave.
February 2023
As atualizações em fevereiro incluem:
- Explorador de Segurança na Nuvem Melhorado
- Verificações de vulnerabilidade do Defender for Containers de imagens Linux em execução agora GA
- Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
- O Microsoft Defender for DevOps (visualização) já está disponível em outras regiões
- A política interna [Visualização]: Ponto de extremidade privado deve ser configurado para que o Cofre da Chave tenha sido preterido
Explorador de Segurança na Nuvem Melhorado
Uma versão melhorada do explorador de segurança na nuvem inclui uma experiência de utilizador atualizada que remove drasticamente a fricção das consultas, adicionou a capacidade de executar consultas multicloud e multi-recursos e documentação incorporada para cada opção de consulta.
O Cloud Security Explorer agora permite que você execute consultas abstratas na nuvem entre recursos. Você pode usar os modelos de consulta pré-criados ou usar a pesquisa personalizada para aplicar filtros para criar sua consulta. Saiba como gerir o Cloud Security Explorer.
Verificações de vulnerabilidade do Defender for Containers de imagens Linux em execução agora GA
O Defender for Containers deteta vulnerabilidades na execução de contêineres. Há suporte para contêineres Windows e Linux.
Em agosto de 2022, este recurso foi lançado em pré-visualização para Windows e Linux. Estamos agora a lançá-lo para disponibilidade geral (GA) para Linux.
Quando vulnerabilidades são detetadas, o Defender for Cloud gera a seguinte recomendação de segurança listando as descobertas da verificação: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
O Defender for Cloud agora oferece suporte ao padrão de conformidade CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes da MDC para recomendações e padrões multicloud.
Esse novo padrão inclui recomendações existentes e novas que estendem a cobertura do Defender for Cloud para novos serviços e recursos da AWS.
Saiba como gerenciar avaliações e padrões da AWS.
O Microsoft Defender for DevOps (visualização) já está disponível em outras regiões
O Microsoft Defender for DevOps expandiu sua visualização e agora está disponível nas regiões da Europa Ocidental e Austrália Oriental, quando você integra seus recursos do Azure DevOps e do GitHub.
Saiba mais sobre o Microsoft Defender for DevOps.
A política interna [Visualização]: Ponto de extremidade privado deve ser configurado para que o Cofre da Chave tenha sido preterido
A política [Preview]: Private endpoint should be configured for Key Vault interna foi preterida e substituída [Preview]: Azure Key Vaults should use private link pela política.
Saiba mais sobre a integração do Azure Key Vault com a Política do Azure.
January 2023
As atualizações em janeiro incluem:
- O componente Proteção de ponto de extremidade (Microsoft Defender for Endpoint) agora é acessado na página Configurações e monitoramento
- Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
- Limpeza de máquinas Azure Arc excluídas em contas conectadas da AWS e do GCP
- Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
- O nome do controle de pontuação segura Proteja seus aplicativos com as soluções avançadas de rede do Azure foi alterado
- As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
- A recomendação para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquina Virtual foi preterida
O componente Proteção de ponto de extremidade (Microsoft Defender for Endpoint) agora é acessado na página Configurações e monitoramento
To access Endpoint protection, navigate to Environment settings>Defender plans>Settings and monitoring. From here you can set Endpoint protection to On. Você também pode ver os outros componentes que são gerenciados.
Saiba mais sobre como habilitar o Microsoft Defender for Endpoint em seus servidores com o Defender for Servers.
Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
Você não precisa mais de um agente em suas VMs do Azure e máquinas Azure Arc para garantir que as máquinas tenham todas as atualizações críticas ou de segurança mais recentes do sistema.
A nova recomendação de atualizações do System updates should be installed on your machines (powered by Azure Update Manager) sistema, Apply system updates no controle, é baseada no Update Manager (visualização). A recomendação depende de um agente nativo incorporado em cada VM do Azure e máquinas Azure Arc em vez de um agente instalado. A Correção Rápida na nova recomendação leva você a uma instalação única das atualizações ausentes no portal do Update Manager.
Para usar a nova recomendação, você precisa:
- Conecte suas máquinas que não são do Azure ao Arc
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
A recomendação existente "As atualizações do sistema devem ser instaladas em suas máquinas", que depende do agente do Log Analytics, ainda está disponível sob o mesmo controle.
Limpeza de máquinas Azure Arc excluídas em contas conectadas da AWS e do GCP
Uma máquina conectada a uma conta da AWS e do GCP coberta pelo Defender for Servers ou pelo Defender for SQL em máquinas é representada no Defender for Cloud como uma máquina Azure Arc. Até agora, essa máquina não era excluída do inventário quando era excluída da conta da AWS ou do GCP. Levando a recursos desnecessários do Azure Arc deixados no Defender for Cloud que representam máquinas excluídas.
Agora, o Defender for Cloud excluirá automaticamente as máquinas Azure Arc quando essas máquinas forem excluídas na conta conectada da AWS ou do GCP.
Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
Agora você pode habilitar a exportação contínua de alertas e recomendações, como um serviço confiável para Hubs de Eventos protegidos por um firewall do Azure.
Você pode habilitar a exportação contínua à medida que os alertas ou recomendações são gerados. Você também pode definir um cronograma para enviar instantâneos periódicos de todos os novos dados.
Saiba como habilitar a exportação contínua para Hubs de Eventos atrás de um firewall do Azure.
O nome do controle de pontuação segura Proteja seus aplicativos com soluções avançadas de rede do Azure é alterado
O controle Protect your applications with Azure advanced networking solutions de pontuação seguro é alterado para Protect applications against DDoS attacks.
O nome atualizado é refletido no Azure Resource Graph (ARG), na API Secure Score Controls e no Download CSV report.
As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.
O relatório de e-mail de avaliação de vulnerabilidades do Defender for SQL ainda está disponível e as configurações de email existentes não foram alteradas.
A recomendação para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquina Virtual foi preterida
A recomendação Diagnostic logs in Virtual Machine Scale Sets should be enabled foi preterida.
The related policy definition has also been deprecated from any standards displayed in the regulatory compliance dashboard.
| Recommendation | Description | Severity |
|---|---|---|
| Os logs de diagnóstico em Conjuntos de Dimensionamento de Máquina Virtual devem ser habilitados | Habilite logs e retenha-os por até um ano, permitindo que você recrie trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida. | Low |
December 2022
As atualizações em dezembro incluem:
Anunciando a configuração expressa para avaliação de vulnerabilidades no Defender for SQL
A configuração expressa para avaliação de vulnerabilidades no Microsoft Defender for SQL fornece às equipes de segurança uma experiência de configuração simplificada nos Bancos de Dados SQL do Azure e nos Pools SQL Dedicados fora dos Espaços de Trabalho Sinapse.
Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:
- Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem quaisquer outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
- Immediately add scan results to baselines so that the status of the finding changes from Unhealthy to Healthy without rescanning a database.
- Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
- Habilite a avaliação de vulnerabilidade para todos os SQL Servers do Azure ao ativar o Microsoft Defender para bancos de dados no nível da assinatura.
Saiba mais sobre a avaliação de vulnerabilidades do Defender for SQL.
November 2022
As atualizações em novembro incluem:
- Proteja contêineres em toda a sua organização GCP com o Defender for Containers
- Valide as proteções do Defender for Containers com exemplos de alertas
- Regras de governação à escala (Pré-visualização)
- A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
- A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
Proteja contêineres em toda a sua organização GCP com o Defender for Containers
Agora você pode habilitar o Defender for Containers para seu ambiente GCP para proteger clusters GKE padrão em toda uma organização GCP. Basta criar um novo conector GCP com o Defender for Containers habilitado ou habilitar o Defender for Containers em um conector GCP existente no nível da organização.
Saiba mais sobre como conectar projetos e organizações do GCP ao Defender for Cloud.
Valide as proteções do Defender for Containers com exemplos de alertas
Agora você pode criar alertas de exemplo também para o plano Defender for Containers. Os novos alertas de amostra são apresentados como sendo de AKS, clusters conectados ao Arc, EKS e recursos GKE com diferentes gravidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alertas de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.
Learn more about alert validation.
Regras de governação à escala (Pré-visualização)
Temos o prazer de anunciar a nova capacidade de aplicar regras de governança em escala (Visualização) no Defender for Cloud.
Com essa nova experiência, as equipes de segurança são capazes de definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipes de segurança podem realizar essa tarefa usando escopos de gerenciamento, como grupos de gerenciamento do Azure, contas de nível superior da AWS ou organizações GCP.
Além disso, a página Regras de governança (Visualização) apresenta todas as regras de governança disponíveis que são eficazes nos ambientes da organização.
Saiba mais sobre a experiência em escala das novas regras de governança.
Note
A partir de 1º de janeiro de 2023, para experimentar os recursos oferecidos pela Governança, você deve ter o plano Defender CSPM habilitado em sua assinatura ou conector.
A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
The ability to create custom assessments for AWS accounts and GCP projects, which was a Preview feature, is deprecated.
A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
A recomendação Lambda functions should have a dead-letter queue configured foi preterida.
| Recommendation | Description | Severity |
|---|---|---|
| As funções do Lambda devem ter uma fila de mensagens mortas configurada | Esse controle verifica se uma função do Lambda está configurada com uma fila de letras mortas. O controle falhará se a função do Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar sua função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas age da mesma forma que um destino em caso de falha. É usado quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você analise erros ou solicitações com falha para sua função do Lambda para depurar ou identificar um comportamento incomum. Do ponto de vista da segurança, é importante entender por que sua função falhou e garantir que sua função não perca dados ou comprometa a segurança dos dados como resultado. Por exemplo, se sua função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de negação de serviço (DoS) em outro lugar da rede. | Medium |
October 2022
As atualizações em outubro incluem:
- Anunciando o benchmark de segurança na nuvem da Microsoft
- Análise de caminho de ataque e recursos de segurança contextual no Defender for Cloud (Visualização)
- Análise sem agente para máquinas Azure e AWS (Pré-visualização)
- Defender for DevOps (Pré-visualização)
- O Painel de Conformidade Regulatória agora oferece suporte ao gerenciamento manual de controle e informações detalhadas sobre o status de conformidade da Microsoft
- O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
- Gerenciamento de postura de segurança do Defender Cloud (CSPM) (visualização)
- O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
- O Defender for Containers agora oferece suporte à avaliação de vulnerabilidades para o Elastic Container Registry (Preview)
Anunciando o benchmark de segurança na nuvem da Microsoft
O Microsoft Cloud Security Benchmark (MCSB) é uma nova estrutura que define princípios fundamentais de segurança na nuvem com base em padrões comuns do setor e estruturas de conformidade. Juntamente com orientações técnicas detalhadas para a implementação dessas práticas recomendadas em plataformas de nuvem. O MCSB está substituindo o Benchmark de Segurança do Azure. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança agnósticas da nuvem em várias plataformas de serviço de nuvem, abrangendo inicialmente o Azure e a AWS.
Agora você pode monitorar sua postura de conformidade de segurança na nuvem por nuvem em um único painel integrado. Você pode ver o MCSB como o padrão de conformidade padrão quando navega até o painel de conformidade regulatória do Defender for Cloud.
O benchmark de segurança na nuvem da Microsoft é atribuído automaticamente às suas assinaturas do Azure e contas da AWS quando você integra o Defender for Cloud.
Saiba mais sobre o benchmark de segurança na nuvem da Microsoft.
Análise de caminho de ataque e recursos de segurança contextual no Defender for Cloud (Visualização)
O novo gráfico de segurança na nuvem, a análise de caminhos de ataque e os recursos contextuais de segurança na nuvem agora estão disponíveis no Defender for Cloud em visualização.
Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que enfrentam diariamente. Existem inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolvê-los todos.
Os novos recursos de análise de caminho de ataque e gráfico de segurança na nuvem do Defender for Cloud dão às equipes de segurança a capacidade de avaliar o risco por trás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisam ser resolvidos o mais rápido possível. O Defender for Cloud trabalha com equipes de segurança para reduzir o risco de uma violação afetiva ao seu ambiente da maneira mais eficaz.
Saiba mais sobre o novo gráfico de segurança na nuvem, a análise de caminhos de ataque e o explorador de segurança na nuvem.
Análise sem agente para máquinas Azure e AWS (Pré-visualização)
Até agora, o Defender for Cloud baseava suas avaliações de postura para VMs em soluções baseadas em agentes. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs visualizarem.
Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre o software instalado e CVEs de software. Você obtém a visibilidade sem que os desafios de instalação e manutenção do agente, os requisitos de conectividade de rede e o desempenho afetem suas cargas de trabalho. A análise é alimentada pelo Microsoft Defender Vulnerability Management.
A verificação de vulnerabilidades sem agente está disponível no Defender Cloud Security Posture Management (CSPM) e no Defender for Servers P2, com suporte nativo para VMs da AWS e do Azure.
- Learn more about agentless scanning.
- Saiba como ativar a avaliação de vulnerabilidade sem agente.
Defender for DevOps (Pré-visualização)
O Microsoft Defender for Cloud permite visibilidade abrangente, gerenciamento de postura e proteção contra ameaças em ambientes híbridos e multicloud, incluindo Azure, AWS, Google e recursos locais.
Agora, o novo plano Defender for DevOps integra sistemas de gerenciamento de código-fonte, como o GitHub e o Azure DevOps, ao Defender for Cloud. Com essa nova integração, estamos capacitando as equipes de segurança para proteger seus recursos do código para a nuvem.
O Defender for DevOps permite que você obtenha visibilidade e gerencie seus ambientes de desenvolvedor conectados e recursos de código. Currently, you can connect Azure DevOps and GitHub systems to Defender for Cloud and onboard DevOps repositories to Inventory and the new DevOps Security page. Ele fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem nelas em uma página unificada de Segurança de DevOps.
Você pode configurar anotações em solicitações pull para ajudar os desenvolvedores a lidar com descobertas de verificação de segredos no Azure DevOps diretamente em suas solicitações pull.
Você pode configurar as ferramentas de DevOps de Segurança da Microsoft nos fluxos de trabalho do Azure Pipelines e do GitHub para habilitar as seguintes verificações de segurança:
| Name | Linguagem | License |
|---|---|---|
| Bandit | Python | Apache Licença 2.0 |
| BinSkim | Binário – Windows, ELF | MIT License |
| ESlint | JavaScript | MIT License |
| CredScan (Azure DevOps Only) | Credential Scanner (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida pela Microsoft para identificar vazamentos de credenciais, como aqueles no código-fonte e arquivos de configuração tipos comuns: senhas padrão, cadeias de conexão SQL, certificados com chaves privadas | Não Open Source |
| Template Analyze | Modelo ARM, arquivo Bicep | MIT License |
| Terrascan | Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, Formação de Nuvem | Apache Licença 2.0 |
| Trivy | Imagens de contêiner, sistemas de arquivos, repositórios git | Apache Licença 2.0 |
As novas recomendações a seguir estão disponíveis para DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura de código resolvidas | O Defender for DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura secretas resolvidas | O Defender for DevOps encontrou um segredo nos repositórios de código. Esta situação deve ser corrigida imediatamente para evitar uma violação da segurança. Segredos encontrados em repositórios podem ser vazados ou descobertos por adversários, levando ao comprometimento de um aplicativo ou serviço. Para o Azure DevOps, a ferramenta Microsoft Security DevOps CredScan verifica apenas as compilações nas quais está configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos em seus repositórios. (Nenhuma política relacionada) | High |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura do Dependabot resolvidas | O Defender for DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | Medium |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação de código habilitada | O GitHub usa a verificação de código para analisar o código a fim de encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, triar e priorizar correções para problemas existentes em seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser agendadas para dias e horários específicos, ou podem ser acionadas quando ocorre um evento específico no repositório, como um push. Se a verificação de código encontrar uma vulnerabilidade ou erro potencial no código, o GitHub exibirá um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto. (Nenhuma política relacionada) | Medium |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação secreta ativada | O GitHub verifica os repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram acidentalmente cometidos em repositórios. A verificação secreta verificará todo o histórico do Git em todas as ramificações presentes no repositório GitHub em busca de quaisquer segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo for verificado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório poderá usá-lo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Nenhuma política relacionada) | High |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação Dependabot ativada | O GitHub envia alertas ao Dependabot quando deteta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto ou de outros projetos que usam seu código. As vulnerabilidades variam em tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Nenhuma política relacionada) | Medium |
As recomendações do Defender for DevOps substituíram o verificador de vulnerabilidades preterido para fluxos de trabalho de CI/CD incluído no Defender for Containers.
Saiba mais sobre o Defender for DevOps
O painel de Conformidade Regulatória agora oferece suporte ao gerenciamento manual de controle e a informações detalhadas sobre o status de conformidade da Microsoft
O dashboard de conformidade no Defender para a Cloud é uma ferramenta fundamental para os clientes perceberem e monitorizarem o respetivo estado de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de muitas normas e regulamentações diferentes.
Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e outros. Agora, pode fornecer provas de conformidade para controlos que não são automatizados. Juntamente com as avaliações automatizadas, pode agora gerar um relatório completo de conformidade dentro de um âmbito selecionado, abordando todo o conjunto de controlos de uma determinada norma.
Além disso, com informações de controlo mais detalhadas e detalhes aprofundados e provas do estado de conformidade da Microsoft, tem agora todas as informações necessárias para auditorias ao seu alcance.
Alguns dos benefícios novos incluem:
As ações manuais do cliente fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Incluindo a capacidade de vincular evidências, definir uma data de conformidade e uma data de validade.
Richer control details for supported standards that showcase Microsoft actions and manual customer actions in addition to the already existing automated customer actions.
As ações da Microsoft fornecem transparência sobre o status de conformidade da Microsoft, que inclui procedimentos de avaliação de auditoria, resultados de testes e respostas da Microsoft a desvios.
Compliance offerings provide a central location to check Azure, Dynamics 365, and Power Platform products and their respective regulatory compliance certifications.
Saiba mais sobre como Melhorar a conformidade regulamentar com o Defender para a Cloud.
O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
Renomeamos a página Autoprovisioning para Configurações e monitoramento.
O provisionamento automático foi criado para permitir a habilitação em escala de pré-requisitos, que são necessários para os recursos avançados do Defender for Cloud. Para melhor suportar as nossas capacidades expandidas, estamos a lançar uma nova experiência com as seguintes alterações:
A página de planos do Defender for Cloud agora inclui:
- Quando você habilita um plano do Defender que requer componentes de monitoramento, esses componentes são habilitados para provisionamento automático com configurações padrão. Opcionalmente, essas configurações podem ser editadas a qualquer momento.
- Você pode acessar as configurações do componente de monitoramento para cada plano Defender na página do plano Defender.
- A página de planos do Defender indica claramente se todos os componentes de monitoramento estão em vigor para cada plano Defender ou se sua cobertura de monitoramento está incompleta.
A página Configurações e monitoramento:
- Cada componente de monitoramento indica os planos do Defender aos quais está relacionado.
Saiba mais sobre como gerenciar suas configurações de monitoramento.
Gestão de Postura de Segurança na Nuvem do Defender (CSPM)
Um dos principais pilares do Microsoft Defender for Cloud para a segurança na nuvem é o Cloud Security Posture Management (CSPM). O CSPM fornece orientação de proteção que ajuda você a melhorar sua segurança de forma eficiente e eficaz. O CSPM também oferece visibilidade da sua situação de segurança atual.
Estamos anunciando um novo plano Defender: Defender CSPM. Este plano melhora os recursos de segurança do Defender for Cloud e inclui os seguintes recursos novos e expandidos:
- Avaliação contínua da configuração de segurança dos seus recursos na nuvem
- Recomendações de segurança para corrigir configurações incorretas e fraquezas
- Secure score
- Governance
- Regulatory compliance
- Gráfico de segurança na nuvem
- Análise de trajetória de ataque
- Varredura sem agente para máquinas
Saiba mais sobre o plano Defender CSPM.
O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas de forma eficiente.
O Defender for Cloud facilita a priorização mapeando as recomendações de segurança do Azure, AWS e GCP em relação à estrutura MITRE ATT&CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.
A estrutura MITRE ATT&CK está integrada de três maneiras:
- As recomendações mapeiam as táticas e técnicas MITRE ATT&CK.
- Consulte táticas e técnicas MITRE ATT&CK sobre recomendações usando o Gráfico de Recursos do Azure.
O Defender for Containers agora oferece suporte à avaliação de vulnerabilidades para o Elastic Container Registry (Preview)
O Microsoft Defender for Containers agora oferece verificação de avaliação de vulnerabilidade sem agente para o Elastic Container Registry (ECR) na Amazon AWS. Expansão da cobertura para ambientes multicloud, com base no lançamento no início deste ano de proteção avançada contra ameaças e proteção de ambiente Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos da AWS em suas contas para digitalizar suas imagens sem extrair imagens de suas contas da AWS e sem espaço ocupado em sua carga de trabalho.
A verificação de avaliação de vulnerabilidades sem agente para imagens em repositórios ECR ajuda a reduzir a superfície de ataque de seu patrimônio conteinerizado, examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêineres. Com esta nova versão, o Defender for Cloud verifica as imagens de contêiner depois que elas são enviadas por push para o repositório e reavalia continuamente as imagens de contêiner ECR no registro. As descobertas estão disponíveis no Microsoft Defender for Cloud como recomendações, e você pode usar os fluxos de trabalho automatizados integrados do Defender for Cloud para tomar medidas sobre as descobertas, como abrir um tíquete para corrigir uma vulnerabilidade de alta gravidade em uma imagem.
Saiba mais sobre a avaliação de vulnerabilidades para imagens do Amazon ECR.
September 2022
As atualizações em setembro incluem:
- Suprimir alertas com base em entidades Container e Kubernetes
- O Defender for Servers dá suporte ao monitoramento da integridade de arquivos com o Azure Monitor Agent
- Descontinuação das APIs de avaliações herdadas
- Recomendações adicionais adicionadas à identidade
- Alertas de segurança removidos para máquinas que relatam para espaços de trabalho do Log Analytics entre locatários
Suprimir alertas com base em entidades Container e Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
Saiba mais sobre as regras de supressão de alertas.
O Defender for Servers dá suporte ao monitoramento da integridade de arquivos com o Azure Monitor Agent
O monitoramento de integridade de arquivos (FIM) examina arquivos e registros do sistema operacional em busca de alterações que possam indicar um ataque.
O FIM agora está disponível em uma nova versão baseada no Azure Monitor Agent (AMA), que você pode implantar por meio do Defender for Cloud.
Descontinuação das APIs de avaliações herdadas
As seguintes APIs foram preteridas:
- Security Tasks
- Security Statuses
- Security Summaries
These three APIs exposed old formats of assessments and are replaced by the Assessments APIs and SubAssessments APIs. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.
Recomendações adicionais adicionadas à identidade
Recomendações do Defender for Cloud para melhorar a gestão de utilizadores e contas.
New recommendations
A nova versão contém os seguintes recursos:
Âmbito de avaliação alargado – A cobertura foi melhorada para contas de identidade sem MFA e contas externas nos recursos do Azure (em vez de apenas subscrições), o que permite que os administradores de segurança vejam atribuições de função por conta.
Intervalo de frescura melhorado - As recomendações de identidade têm agora um intervalo de frescura de 12 horas.
Capacidade de isenção de conta - O Defender for Cloud tem muitos recursos que você pode usar para personalizar sua experiência e garantir que sua pontuação segura reflita as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações de sua pontuação segura.
Esta atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.
Normalmente, você isentaria contas de emergência "quebra-vidro" das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso, que não têm MFA habilitada.
Tip
Quando você isenta uma conta, ela não será mostrada como não íntegra e também não fará com que uma assinatura pareça não íntegra.
Recommendation Assessment key Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA 6240402e-f77c-46fa-9060-a7ce53997754 Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
As recomendações, embora em pré-visualização, aparecerão ao lado das recomendações que estão atualmente em AG.
Alertas de segurança removidos para máquinas que relatam para espaços de trabalho do Log Analytics entre locatários
No passado, o Defender for Cloud permitia que você escolhesse o espaço de trabalho ao qual seus agentes do Log Analytics se reportavam. Quando uma máquina pertencia a um locatário (Locatário A), mas seu agente do Log Analytics reportava a um espaço de trabalho em um locatário diferente ("Locatário B"), alertas de segurança sobre a máquina eram relatados ao primeiro locatário (Locatário A).
Com essa alteração, os alertas em máquinas conectadas ao espaço de trabalho do Log Analytics em um locatário diferente não aparecem mais no Defender for Cloud.
Se quiser continuar recebendo os alertas no Defender for Cloud, conecte o agente do Log Analytics das máquinas relevantes ao espaço de trabalho no mesmo locatário da máquina.
Learn more about security alerts.
August 2022
As atualizações em agosto incluem:
- As vulnerabilidades para a execução de imagens agora estão visíveis com o Defender for Containers em seus contêineres do Windows
- Integração do Azure Monitor Agent agora em pré-visualização
- Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
As vulnerabilidades para a execução de imagens agora estão visíveis com o Defender for Containers em seus contêineres do Windows
O Defender for Containers agora mostra vulnerabilidades para executar contêineres do Windows.
Quando vulnerabilidades são detetadas, o Defender for Cloud gera a seguinte recomendação de segurança listando os problemas detetados: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Integração do Azure Monitor Agent agora em pré-visualização
O Defender for Cloud agora inclui suporte de visualização para o Azure Monitor Agent (AMA). O AMA destina-se a substituir o agente herdado do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)), que está em um caminho para a descontinuação. O AMA oferece muitos benefícios em relação aos agentes legados.
No Defender for Cloud, quando você habilita o provisionamento automático para AMA, o agente é implantado em VMs novas e existentes e em máquinas habilitadas para Azure Arc que são detetadas em suas assinaturas. Se os planos do Defenders for Cloud estiverem habilitados, o AMA coletará informações de configuração e logs de eventos de VMs do Azure e máquinas Azure Arc. A integração AMA está em pré-visualização, por isso recomendamos usá-la em ambientes de teste, em vez de em ambientes de produção.
Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
A tabela a seguir lista os alertas que foram preteridos:
| Alert name | Description | Tactics | Severity |
|---|---|---|---|
|
Operação de compilação do Docker detetada em um nó do Kubernetes (VM_ImageBuildOnNode) |
Os logs de máquina indicam uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar suas imagens maliciosas localmente para evitar a deteção. | Defense Evasion | Low |
|
Solicitação suspeita para a API do Kubernetes (VM_KubernetesAPI) |
Os logs da máquina indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora esse comportamento possa ser intencional, ele pode indicar que o nó está executando um contêiner comprometido. | LateralMovement | Medium |
|
O servidor SSH está sendo executado dentro de um contêiner (VM_ContainerSSH) |
Os logs da máquina indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora esse comportamento possa ser intencional, ele frequentemente indica que um contêiner está configurado incorretamente ou violado. | Execution | Medium |
Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas do Microsoft Defender for Cloud Container (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI e K8S.NODE_ ContainerSSH), que fornecerão fidelidade aprimorada e contexto abrangente para investigar e agir sobre os alertas. Learn more about alerts for Kubernetes Clusters.
As vulnerabilidades de contêiner agora incluem informações detalhadas do pacote
A avaliação de vulnerabilidade (VA) do Defender for Container agora inclui informações detalhadas do pacote para cada localização, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão fixa. As informações do pacote permitem encontrar pacotes vulneráveis para que você possa corrigir a vulnerabilidade ou remover o pacote.
Esta informação detalhada do pacote está disponível para novas digitalizações de imagens.
July 2022
As atualizações em julho incluem:
- Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
- O VA do Defender for Container adiciona suporte para a deteção de pacotes específicos de idioma (Visualização)
- Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
- Integração com o Entra Permissions Management
- As recomendações do Key Vault foram alteradas para "auditoria"
- Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
Estamos entusiasmados em compartilhar que o agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes agora está disponível em geral (GA)!
As implantações de produção de clusters Kubernetes continuam a crescer à medida que os clientes continuam a contentorizar seus aplicativos. Para ajudar nesse crescimento, a equipe do Defender for Containers desenvolveu um agente de segurança orientado ao Kubernetes nativo da nuvem.
O novo agente de segurança é um Kubernetes DaemonSet, baseado na tecnologia eBPF e está totalmente integrado em clusters AKS como parte do Perfil de Segurança AKS.
A ativação do agente de segurança está disponível por meio de provisionamento automático, fluxo de recomendações, AKS RP ou em escala usando a Política do Azure.
Você pode implantar o agente Defender hoje em seus clusters AKS.
Com este anúncio, a proteção em tempo de execução - deteção de ameaças (carga de trabalho) agora também está disponível para o público em geral.
Learn more about the Defender for Container's feature availability.
Também pode rever todos os alertas disponíveis.
Observe que, se você estiver usando a versão de visualização, o AKS-AzureDefender sinalizador de recurso não será mais necessário.
O VA do Defender for Container adiciona suporte para a deteção de pacotes específicos de idioma (Visualização)
A avaliação de vulnerabilidade (VA) do Defender for Container é capaz de detetar vulnerabilidades em pacotes do sistema operacional implantados por meio do gerenciador de pacotes do sistema operacional. Agora ampliamos as habilidades do VA para detetar vulnerabilidades incluídas em pacotes específicos de idiomas.
Este recurso está em pré-visualização e só está disponível para imagens Linux.
Para ver todos os pacotes específicos de idiomas incluídos que foram adicionados, confira a lista completa de recursos do Defender for Container e sua disponibilidade.
Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
A Infraestrutura de Gerenciamento de Operações (OMI) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e em nuvem a partir de um único local. Em vez de implantar e gerenciar recursos locais, os componentes do OMI são totalmente hospedados no Azure.
Log Analytics integrated with Azure HDInsight running OMI version 13 requires a patch to remediate CVE-2022-29149. Consulte o relatório sobre esta vulnerabilidade no guia de Atualização de Segurança da Microsoft para obter informações sobre como identificar recursos afetados por esta vulnerabilidade e etapas de correção.
If you have Defender for Servers enabled with Vulnerability Assessment, you can use this workbook to identify affected resources.
Integração com o Entra Permissions Management
O Defender for Cloud foi integrado ao Microsoft Entra Permissions Management, uma solução de gerenciamento de direitos de infraestrutura em nuvem (CIEM) que fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso no Azure, AWS e GCP.
Cada assinatura do Azure, conta da AWS e projeto GCP que você integra agora mostrará uma exibição do seu PCI (Permission Creep Index).
Saiba mais sobre o Entra Permission Management (anteriormente Cloudknox)
As recomendações do Key Vault foram alteradas para "auditoria"
O efeito das recomendações do Key Vault listadas aqui foi alterado para "auditoria":
| Recommendation name | Recommendation ID |
|---|---|
| O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Os segredos do Key Vault devem ter uma data de validade | 14257785-9437-97fa-11ae-898cfb24302b |
| As chaves do Key Vault devem ter uma data de validade | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Substituímos as seguintes políticas pelas políticas correspondentes que já existem para incluir aplicativos de API:
| A ser preterido | Changing to |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
June 2022
As atualizações em junho incluem:
- Disponibilidade geral (GA) do Microsoft Defender para Azure Cosmos DB
- Disponibilidade geral (GA) do Defender for SQL em máquinas para ambientes AWS e GCP
- Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
- Filtrar alertas de segurança por endereço IP
- Alertas por grupo de recursos
- Autoprovisionamento da solução unificada Microsoft Defender for Endpoint
- Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
- Novos alertas do Cofre da Chave
Disponibilidade geral (GA) do Microsoft Defender para Azure Cosmos DB
O Microsoft Defender para Azure Cosmos DB agora está disponível em geral (GA) e oferece suporte a tipos de conta de API SQL (core).
Esta nova versão do GA faz parte do pacote de proteção de banco de dados Microsoft Defender for Cloud, que inclui diferentes tipos de bancos de dados SQL e MariaDB. O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB.
Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, agentes mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações de seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas fornecem detalhes de atividades suspeitas, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
O Microsoft Defender for Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços do Azure Cosmos DB e os cruza com o Microsoft Threat Intelligence e modelos comportamentais para detetar qualquer atividade suspeita. O Defender for Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito no desempenho do seu banco de dados.
Saiba mais sobre o Microsoft Defender for Azure Cosmos DB.
Com a adição do suporte para o Azure Cosmos DB, o Defender for Cloud agora fornece uma das ofertas de proteção de carga de trabalho mais abrangentes para bancos de dados baseados em nuvem. As equipes de segurança e os proprietários de bancos de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados de seus ambientes.
Learn how to enable protections for your databases.
Disponibilidade geral (GA) do Defender for SQL em máquinas para ambientes AWS e GCP
Os recursos de proteção de banco de dados fornecidos pelo Microsoft Defender for Cloud adicionaram suporte para seus servidores SQL hospedados em ambientes AWS ou GCP.
Defender for SQL, as empresas agora podem proteger todo o seu patrimônio de banco de dados, hospedado no Azure, AWS, GCP e máquinas locais.
O Microsoft Defender for SQL fornece uma experiência multicloud unificada para exibir recomendações de segurança, alertas de segurança e descobertas de avaliação de vulnerabilidades para o servidor SQL e o sistema operacional Windows sublinhado.
Usando a experiência de integração multicloud, você pode habilitar e aplicar a proteção de bancos de dados para servidores SQL executados no AWS EC2, RDS Custom for SQL Server e mecanismo de computação GCP. Depois de ativar qualquer um desses planos, todos os recursos suportados que existem na assinatura são protegidos. Os recursos futuros criados na mesma subscrição também serão protegidos.
Learn how to protect and connect your AWS environment and your GCP organization with Microsoft Defender for Cloud.
Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
As crescentes ameaças atuais às organizações estendem os limites do pessoal de segurança para proteger suas cargas de trabalho em expansão. As equipas de segurança são desafiadas a implementar as proteções definidas nas suas políticas de segurança.
Agora, com a experiência de governança em visualização, as equipes de segurança podem atribuir recomendações de correção de segurança aos proprietários de recursos e exigir um cronograma de correção. Eles podem ter total transparência sobre o progresso da remediação e ser notificados quando as tarefas estão atrasadas.
Saiba mais sobre a experiência de governança em Conduzindo sua organização a corrigir problemas de segurança com governança de recomendação.
Filtrar alertas de segurança por endereço IP
Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção "Entidades relacionadas" no painel de alerta único. Agora, pode filtrar os alertas na página de alertas de segurança para ver os alertas relacionados com o endereço IP e pode procurar um endereço IP específico.
Alertas por grupo de recursos
A capacidade de filtrar, classificar e agrupar por grupo de recursos é adicionada à página Alertas de segurança.
Uma coluna de grupo de recursos é adicionada à grade de alertas.
É adicionado um novo filtro que lhe permite visualizar todos os alertas para grupos de recursos específicos.
Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas de cada um dos grupos de recursos.
Autoprovisionamento da solução unificada Microsoft Defender for Endpoint
Até agora, a integração com o Microsoft Defender for Endpoint (MDE) incluía a instalação automática da nova solução unificada MDE para máquinas (assinaturas do Azure e conectores multicloud) com o Defender for Servers Plan 1 habilitado e para conectores multicloud com o Defender for Servers Plan 2 habilitado. O Plano 2 para assinaturas do Azure habilitou a solução unificada apenas para máquinas Linux e servidores Windows 2019 e 2022. Os servidores Windows 2012R2 e 2016 usaram a solução herdada MDE dependente do agente do Log Analytics.
Agora, a nova solução unificada está disponível para todas as máquinas em ambos os planos, para assinaturas do Azure e conectores multicloud. For Azure subscriptions with Servers Plan 2 that enabled MDE integration after June 20, 2022, the unified solution is enabled by default for all machines Azure subscriptions with the Defender for Servers Plan 2 enabled with MDE integration before June 20, 2022 can now enable unified solution installation for Windows servers 2012R2 and 2016 through the dedicated button in the Integrations page:
Saiba mais sobre a integração do MDE com o Defender for Servers.
Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
A política API App should only be accessible over HTTPS foi preterida. Esta política é substituída Web Application should only be accessible over HTTPS pela política, que é renomeada para App Service apps should only be accessible over HTTPS.
Para saber mais sobre definições de política para o Serviço de Aplicativo do Azure, consulte Definições internas da Política do Azure para o Serviço de Aplicativo do Azure.
Novos alertas do Cofre da Chave
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Key Vault, adicionamos dois novos alertas.
Estes alertas informam-no de uma anomalia de acesso negado, detetada em qualquer um dos seus cofres de chaves.
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Acesso incomum negado - Usuário que acessa alto volume de cofres de chaves negado (KV_DeniedAccountVolumeAnomaly) |
Um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Discovery | Low |
|
Acesso incomum negado - Usuário incomum acessando cofre de chaves negado (KV_UserAccessDeniedAnomaly) |
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. | Acesso inicial, descoberta | Low |
May 2022
As atualizações em maio incluem:
- As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
- O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
- Adicionar e remover o sensor Defender para clusters AKS usando a CLI
As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
Agora há configurações no nível do conector para o Defender for Servers em multicloud.
As novas configurações no nível do conector fornecem granularidade para definição de preço e provisionamento automático por conector, independentemente da assinatura.
Todos os componentes de provisionamento automático disponíveis no nível do conector (Azure Arc, MDE e avaliações de vulnerabilidade) são habilitados por padrão, e a nova configuração dá suporte aos níveis de preços do Plano 1 e do Plano 2.
As atualizações na interface do usuário incluem um reflexo da camada de preço selecionada e dos componentes necessários configurados.
Alterações à avaliação da vulnerabilidade
O Defender for Containers agora exibe vulnerabilidades com gravidades médias e baixas que não podem ser corrigidas.
Como parte desta atualização, as vulnerabilidades que têm gravidades médias e baixas são agora mostradas, quer os patches estejam ou não disponíveis. Esta atualização fornece visibilidade máxima, mas ainda permite filtrar vulnerabilidades indesejadas usando a regra Desativar fornecida.
Learn more about vulnerability management
O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
Quando você conecta contas da AWS, o JIT avalia automaticamente a configuração de rede dos grupos de segurança da sua instância e recomenda quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com o Azure. Quando você integra instâncias desprotegidas do EC2, o JIT bloqueia o acesso público às portas de gerenciamento e só as abre com solicitações autorizadas por um período de tempo limitado.
Saiba como o JIT protege suas instâncias do AWS EC2
Adicionar e remover o sensor Defender para clusters AKS usando a CLI
The Defender agent is required for Defender for Containers to provide the runtime protections and collects signals from nodes. Agora você pode usar a CLI do Azure para adicionar e remover o agente do Defender para um cluster AKS.
Note
Esta opção está incluída na CLI do Azure 3.7 e superior.
April 2022
As atualizações em abril incluem:
- Novos planos do Defender for Servers
- Realocação de recomendações personalizadas
- Script do PowerShell para transmitir alertas para Splunk e QRadar
- Substituída a recomendação do Cache do Azure para Redis
- Nova variante de alerta para o Microsoft Defender for Storage (visualização) para detetar a exposição de dados confidenciais
- Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
- Ver os registos de atividade relacionados com um alerta de segurança
Novos planos do Defender for Servers
O Microsoft Defender for Servers agora é oferecido em dois planos incrementais:
- Defender for Servers Plan 2, anteriormente Defender for Servers
- Defender for Servers Plan 1, fornece suporte apenas para o Microsoft Defender for Endpoint
Enquanto o Defender for Servers Plan 2 continua a fornecer proteções contra ameaças e vulnerabilidades para suas cargas de trabalho na nuvem e no local, o Defender for Servers Plan 1 fornece apenas proteção de endpoint, alimentado pelo Defender for Endpoint integrado nativamente. Leia mais sobre os planos do Defender for Servers.
Se você tem usado o Defender for Servers até agora, nenhuma ação é necessária.
Além disso, o Defender for Cloud também inicia o suporte gradual para o agente unificado do Defender for Endpoint para Windows Server 2012 R2 e 2016. O Plano 1 do Defender for Servers implanta o novo agente unificado nas cargas de trabalho do Windows Server 2012 R2 e 2016.
Realocação de recomendações personalizadas
As recomendações personalizadas são aquelas criadas pelos usuários e não têm efeito sobre a pontuação segura. As recomendações personalizadas agora podem ser encontradas na guia Todas as recomendações.
Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.
Saiba mais em Criar iniciativas e políticas de segurança personalizadas.
Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar
Recomendamos que você use Hubs de Eventos e um conector integrado para exportar alertas de segurança para o Splunk e o IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.
Basta baixar e executar o script do PowerShell. Depois de fornecer alguns detalhes do seu ambiente, o script configura os recursos para você. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.
Para saber mais, consulte Transmitir alertas para Splunk e QRadar.
Substituída a recomendação do Cache do Azure para Redis
A recomendação Azure Cache for Redis should reside within a virtual network (Pré-visualização) foi preterida. Alterámos as nossas orientações para proteger a Cache do Azure para instâncias Redis. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância do Cache do Azure para Redis, em vez de uma rede virtual.
Nova variante de alerta para o Microsoft Defender for Storage (visualização) para detetar a exposição de dados confidenciais
Os alertas do Microsoft Defender for Storage notificam quando agentes de ameaças tentam verificar e expor, com êxito ou não, contêineres de armazenamento abertos publicamente e mal configurados para tentar exfiltrar informações confidenciais.
Para permitir uma triagem e um tempo de resposta mais rápidos, quando a exfiltração de dados potencialmente confidenciais pode ter ocorrido, lançamos uma nova variação para o alerta existente Publicly accessible storage containers have been exposed .
O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é acionado com um High nível de gravidade, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles podem conter informações confidenciais.
| Alerta (tipo de alerta) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
PREVIEW - Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguém examinou sua conta de Armazenamento do Azure e expôs contêineres que permitem acesso público. Um ou mais dos contêineres expostos têm nomes que indicam que eles podem conter dados confidenciais. Isso geralmente indica reconhecimento por um agente de ameaça que está verificando se há contêineres de armazenamento acessíveis publicamente configurados incorretamente que possam conter dados confidenciais. Depois que um agente de ameaça descobre com êxito um contêiner, ele pode continuar exfiltrando os dados. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um agente de ameaça conhecido ou de um ator que está usando a rede Tor para ocultar sua identidade. Ambos os indicadores sugerem que há intenção maliciosa. A reputação do endereço IP é fornecida pelo Microsoft Threat Intelligence.
A adição da reputação do endereço IP ao título do alerta fornece uma maneira de avaliar rapidamente a intenção do ator e, portanto, a gravidade da ameaça.
Os seguintes alertas incluirão estas informações:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por exemplo, as informações adicionadas ao título do Publicly accessible storage containers have been exposed alerta terão esta aparência:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todos os alertas do Microsoft Defender for Storage continuarão a incluir informações de inteligência sobre ameaças na entidade IP na seção Entidades Relacionadas do alerta.
Ver os registos de atividade relacionados com um alerta de segurança
Como parte das ações que você pode tomar para avaliar um alerta de segurança, você pode encontrar os logs da plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender for Cloud identifica os logs da plataforma que estão dentro de um dia após o alerta.
Os logs da plataforma podem ajudá-lo a avaliar a ameaça à segurança e identificar as etapas que você pode tomar para mitigar o risco identificado.
March 2022
As atualizações em março incluem:
- Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
- Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
- O Defender for Containers agora pode verificar vulnerabilidades em imagens do Windows (visualização)
- Novo alerta para o Microsoft Defender for Storage (visualização)
- Definir definições de notificações por e-mail a partir de um alerta
- Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
- Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
- Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
- Recomendações preteridas do Microsoft Defender para dispositivos IoT
- Alertas de dispositivo Microsoft Defender para IoT preteridos
- Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
- Verificação de registro para imagens do Windows no ACR adicionado suporte para nuvens nacionais
Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
Os recursos de gerenciamento de postura de segurança na nuvem fornecidos pelo Microsoft Defender for Cloud agora adicionaram suporte para seus ambientes AWS e GCP em seu Secure Score.
Agora, as empresas podem visualizar sua postura geral de segurança em vários ambientes, como Azure, AWS e GCP.
A página Pontuação segura é substituída pelo painel Postura de segurança. O painel Postura de segurança permite que você visualize uma pontuação geral combinada para todos os seus ambientes ou um detalhamento de sua postura de segurança com base em qualquer combinação de ambientes que você escolher.
A página Recomendações também foi redesenhada para fornecer novos recursos, tais como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta da AWS, projeto GCP e muito mais), interface de usuário aprimorada em baixa resolução, suporte para consulta aberta no gráfico de recursos e muito mais. You can learn more about your overall security posture and security recommendations.
Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
As alterações no nosso roteiro e prioridades eliminaram a necessidade do agente de recolha de dados de tráfego de rede. As duas recomendações a seguir e suas políticas relacionadas foram preteridas.
| Recommendation | Description | Severity |
|---|---|---|
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | O Defender for Cloud usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Medium |
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows | O Defender for Cloud usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Medium |
O Defender for Containers agora pode verificar vulnerabilidades em imagens do Windows (visualização)
A verificação de imagens do Defender for Container agora dá suporte a imagens do Windows hospedadas no Registro de Contêiner do Azure. Este recurso é gratuito durante a pré-visualização e incorrerá em um custo quando estiver disponível ao público.
Saiba mais em Usar o Microsoft Defender for Container para verificar suas imagens em busca de vulnerabilidades.
Novo alerta para o Microsoft Defender for Storage (visualização)
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Storage, adicionamos um novo alerta de visualização.
Os agentes de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender for Storage deteta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.
Este alerta de pré-visualização chama-se Access from a suspicious application. O alerta é relevante apenas para o Armazenamento de Blobs do Azure e para o ADLS Gen2.
| Alerta (tipo de alerta) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
PREVIEW - Acesso a partir de uma aplicação suspeita (Storage.Blob_SuspiciousApp) |
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado em sua organização. Aplica-se a: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | Medium |
Definir definições de notificações por e-mail a partir de um alerta
Uma nova seção foi adicionada à interface do usuário (UI) de alerta que permite visualizar e editar quem receberá notificações por e-mail para alertas que são acionados na assinatura atual.
Saiba como Configurar notificações por e-mail para alertas de segurança.
Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
O seguinte alerta de pré-visualização foi preterido:
| Alert name | Description |
|---|---|
|
PREVIEW - Atividade de um endereço IP arriscado (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
A atividade dos usuários a partir de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detetada. Esses proxies são usados por pessoas que querem ocultar o endereço IP do dispositivo e podem ser usados para intenções maliciosas. Essa deteção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização. Requer uma licença ativa do Microsoft Defender for Cloud Apps. |
Foi criado um novo alerta que fornece essas informações e as complementa. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença para o Microsoft Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security).
See more alerts for Resource Manager.
Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de pontuação segura para a seção de melhores práticas.
A experiência atual do usuário só fornece a pontuação quando todas as verificações de conformidade foram aprovadas. A maioria dos clientes tem dificuldades em cumprir todas as verificações exigidas. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, uma vez lançada, a recomendação será movida de volta para a pontuação segura.
Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
À medida que as organizações deixam de usar certificados de gerenciamento para gerenciar suas assinaturas e nosso recente anúncio de que estamos aposentando o modelo de implantação (clássico) dos Serviços de Nuvem, substituímos a seguinte recomendação do Defender for Cloud e sua política relacionada:
| Recommendation | Description | Severity |
|---|---|---|
| As entidades de serviço devem ser usadas para proteger suas assinaturas em vez de Certificados de Gerenciamento | Os certificados de gerenciamento permitem que qualquer pessoa que se autentique com eles gerencie a(s) assinatura(s) à qual estão associados. Para gerenciar assinaturas com mais segurança, recomenda-se o uso de entidades de serviço com o Resource Manager para limitar o raio de explosão no caso de um comprometimento de certificado. Também automatiza a gestão de recursos. (Política relacionada: As entidades de serviço devem ser utilizadas para proteger as suas subscrições em vez de certificados de gestão) |
Medium |
Learn more:
- O modelo de implantação dos Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
- Visão geral dos Serviços de Nuvem do Azure (clássico)
- Fluxo de trabalho da arquitetura clássica de VM do Microsoft Azure - incluindo noções básicas de fluxo de trabalho RDFE
Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
A implementação legada da ISO 27001 foi removida do painel de conformidade regulatória do Defender for Cloud. Se você estiver acompanhando sua conformidade com a ISO 27001 com o Defender for Cloud, integre a nova norma ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.
Recomendações preteridas do Microsoft Defender para dispositivos IoT
As recomendações de dispositivos do Microsoft Defender para IoT não estão mais visíveis no Microsoft Defender for Cloud. Essas recomendações ainda estão disponíveis na página Recomendações do Microsoft Defender for IoT.
As seguintes recomendações foram preteridas:
| Assessment key | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivos IoT | Abrir portas no dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivos IoT | Foi encontrada uma política de firewall permissiva em uma das cadeias |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de saída |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivos IoT | Falha na validação da linha de base do sistema operacional |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivos IoT | Agente enviando mensagens subutilizadas |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivos IoT | Atualização necessária do pacote de codificação TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivos IoT |
Auditd processo parou de enviar eventos |
Alertas de dispositivo Microsoft Defender para IoT preteridos
Todos os alertas de dispositivos Defender for IoT da Microsoft não são mais visíveis no Microsoft Defender for Cloud. Esses alertas ainda estão disponíveis na página Alerta do Microsoft Defender for IoT e no Microsoft Sentinel.
Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
Os recursos CSPM do Defender for Cloud se estendem aos seus recursos da AWS e do GCP. Este plano sem agente avalia os seus recursos multicloud de acordo com as recomendações de segurança específicas da nuvem incluídas na sua pontuação segura. Os recursos são avaliados quanto à conformidade usando os padrões integrados. A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multicloud que permite gerenciar seus recursos da AWS juntamente com seus recursos do Azure.
O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas instâncias de computação na AWS e no GCP. O plano Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint, verificação de avaliação de vulnerabilidades e muito mais. Saiba mais sobre todos os recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitem que você conecte facilmente quaisquer instâncias de computação novas ou existentes descobertas em seu ambiente.
Learn how to protect and connect your AWS environment and GCP organization with Microsoft Defender for Cloud.
Verificação de registro para imagens do Windows no ACR adicionado suporte para nuvens nacionais
A verificação do Registro para imagens do Windows agora é suportada no Azure Government e no Microsoft Azure operados pela 21Vianet. Esta adição está atualmente em pré-visualização.
Learn more about our feature's availability.
February 2022
As atualizações em fevereiro incluem:
- Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
- CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
- Plano do Microsoft Defender for Azure Cosmos DB lançado para visualização
- Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
Anteriormente, o Defender for Containers protegia apenas cargas de trabalho do Kubernetes em execução no Serviço Kubernetes do Azure. Agora estendemos a cobertura de proteção para incluir clusters Kubernetes habilitados para Azure Arc.
Saiba como configurar sua proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para AKS e Azure Arc.
CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
A nova integração automatizada de ambientes GCP permite proteger cargas de trabalho GCP com o Microsoft Defender for Cloud. O Defender for Cloud protege os seus recursos com os seguintes planos:
Os recursos CSPM do Defender for Cloud se estendem aos seus recursos do GCP. Este plano sem agente avalia seus recursos do GCP de acordo com as recomendações de segurança específicas do GCP, que são fornecidas com o Defender for Cloud. As recomendações do GCP estão incluídas em sua pontuação segura e os recursos serão avaliados quanto à conformidade com o padrão GCP CIS integrado. A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multicloud que ajuda você a gerenciar seus recursos no Azure, AWS e GCP.
O Microsoft Defender for Servers traz deteção de ameaças e defesas avançadas para suas instâncias de computação GCP. Este plano inclui a licença integrada para o Microsoft Defender for Endpoint, verificação de avaliação de vulnerabilidades e muito mais.
Para obter uma lista completa dos recursos disponíveis, consulte Recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitirão que você conecte facilmente quaisquer instâncias de computação existentes e novas descobertas em seu ambiente.
Saiba como proteger e conectar seus projetos GCP ao Microsoft Defender for Cloud.
Plano do Microsoft Defender for Azure Cosmos DB lançado para visualização
Ampliamos a cobertura do banco de dados do Microsoft Defender for Cloud. Agora você pode habilitar a proteção para seus bancos de dados do Azure Cosmos DB.
O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta qualquer tentativa de explorar bancos de dados em suas contas do Azure Cosmos DB. O Microsoft Defender for Azure Cosmos DB deteta possíveis injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e exploração potencial do seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas são exibidos no Microsoft Defender for Cloud juntamente com os detalhes da atividade suspeita, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
Não há impacto no desempenho do banco de dados ao habilitar o serviço, porque o Defender for Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB.
Saiba mais em Visão geral do Microsoft Defender for Azure Cosmos DB.
Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Agora você pode habilitar a proteção do Microsoft Defender for Cloud em sua assinatura para proteger todos os tipos de banco de dados, como o Azure Cosmos DB, o Banco de Dados SQL do Azure, os servidores SQL do Azure em máquinas e o Microsoft Defender para bancos de dados relacionais de código aberto por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos configurando seu plano.
Saiba como ativar a segurança da sua base de dados ao nível da subscrição.
Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Após nosso recente anúncio CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP, o Microsoft Defender for Containers estendeu sua proteção contra ameaças do Kubernetes, análise comportamental e políticas de controle de admissão integradas aos clusters do Kubernetes Engine (GKE) Standard do Google. Você pode facilmente integrar qualquer cluster GKE Standard existente ou novo ao seu ambiente por meio de nossos recursos de integração automática. Confira Segurança de contêiner com o Microsoft Defender for Cloud para obter uma lista completa dos recursos disponíveis.
January 2022
As atualizações em janeiro incluem:
- Microsoft Defender for Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT&CK® Matrix
- Recomendações para habilitar planos no Microsoft Defender em espaços de trabalho (em visualização)
- Autoprovisionar o agente do Log Analytics para máquinas habilitadas para Azure Arc (visualização)
- Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
- Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
- Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
- Duas recomendações renomeadas
- Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
- Pasta de trabalho 'Alertas Ativos' adicionada
- Recomendação de 'atualização do sistema' adicionada à nuvem do governo
Microsoft Defender for Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT&CK® Matrix
A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, também é um alvo potencial para os atacantes. Recomendamos que as equipes de operações de segurança monitorem de perto a camada de gerenciamento de recursos.
O Microsoft Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização, quer sejam executadas através do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure. O Defender for Cloud executa análises de segurança avançadas para detetar ameaças e alertá-lo sobre atividades suspeitas.
As proteções do plano melhoram consideravelmente a resiliência de uma organização contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Defender for Cloud.
Em dezembro de 2020, apresentamos a prévia do Defender for Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.
Com esta atualização, revisamos de forma abrangente o foco do plano Microsoft Defender for Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocação suspeita de operações de alto risco. These new alerts provide extensive monitoring for attacks across the completeMITRE ATT&CK® matrix for cloud-based techniques.
Essa matriz abrange a seguinte gama de intenções potenciais de agentes de ameaças que podem estar visando os recursos da sua organização: Acesso Inicial, Execução, Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Exfiltração e Impacto.
Os novos alertas para este plano Defender abrangem essas intenções, conforme mostrado na tabela a seguir.
Tip
Esses alertas também aparecem na página de referência de alertas.
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Severity |
|---|---|---|---|
|
Invocação suspeita de uma operação de "Acesso Inicial" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.InitialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Initial Access | Medium |
|
Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Execution) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Execution | Medium |
|
Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Persistence) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Persistence | Medium |
|
Invocação suspeita de uma operação de "Escalonamento de privilégios" de alto risco detetada (visualização) (ARM_AnomalousOperation.PrivilegeEscalation) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Privilege Escalation | Medium |
|
Detetada invocação suspeita de uma operação de "evasão de defesa" de alto risco (Pré-visualização) (ARM_AnomalousOperation.DefenseEvasion) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escapar das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Defense Evasion | Medium |
|
Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco detetada (visualização) (ARM_AnomalousOperation.CredentialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Credential Access | Medium |
|
Detetada invocação suspeita de uma operação de «Movimento Lateral» de alto risco (Pré-visualização) (ARM_AnomalousOperation.LateralMovement) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Lateral Movement | Medium |
|
Detetada invocação suspeita de uma operação de «Recolha de Dados» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Collection) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Collection | Medium |
|
Detetada invocação suspeita de uma operação «Impacto» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Impact) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Impact | Medium |
Além disso, estes dois alertas deste plano saíram da pré-visualização:
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Severity |
|---|---|---|---|
|
Operação do Azure Resource Manager a partir de um endereço IP suspeito (ARM_OperationFromSuspiciousIP) |
O Microsoft Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência de ameaças. | Execution | Medium |
|
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (ARM_OperationFromSuspiciousProxyIP) |
O Microsoft Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Defense Evasion | Medium |
Recomendações para habilitar planos do Microsoft Defender em espaços de trabalho (em visualização)
Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender for Servers e do Microsoft Defender for SQL em máquinas, os planos devem ser habilitados nosníveis de assinatura e espaço de trabalho.
Quando uma máquina estiver em uma assinatura com um desses planos ativado, você será cobrado pelas proteções completas. However, if that machine is reporting to a workspace without the plan enabled, you won't actually receive those benefits.
We've added two recommendations that highlight workspaces without these plans enabled, that nevertheless have machines reporting to them from subscriptions that do have the plan enabled.
As duas recomendações, que oferecem remediação automatizada (a ação 'Fix'), são:
| Recommendation | Description | Severity |
|---|---|---|
| O Microsoft Defender for Servers deve ser habilitado em espaços de trabalho | O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando por todos os recursos do Microsoft Defender for Servers, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender for Servers em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender for Servers - mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender for Servers na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativo adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender for Servers. (Nenhuma política relacionada) |
Medium |
| O Microsoft Defender para SQL em máquinas deve ser habilitado em espaços de trabalho | O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando por todos os recursos do Microsoft Defender for Servers, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender for Servers em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender for Servers - mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender for Servers na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativo adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender for Servers. (Nenhuma política relacionada) |
Medium |
Autoprovisionar o agente do Log Analytics para máquinas habilitadas para Azure Arc (visualização)
O Defender for Cloud usa o agente do Log Analytics para coletar dados relacionados à segurança de máquinas. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu espaço de trabalho para análise.
As configurações de provisionamento automático do Defender for Cloud têm uma alternância para cada tipo de extensão suportada, incluindo o agente do Log Analytics.
Em uma expansão adicional de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente do Log Analytics para máquinas conectadas ao Azure Arc.
Assim como as outras opções de provisionamento automático, isso é configurado no nível da assinatura.
Ao habilitar essa opção, você será solicitado para o espaço de trabalho.
Note
Para essa visualização, não é possível selecionar o espaço de trabalho padrão criado pelo Defender for Cloud. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para Arco do Azure, verifique se você tem a solução de segurança relevante instalada no espaço de trabalho selecionado.
Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
Removemos a recomendação Os dados confidenciais em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como o Defender for Cloud identifica e protege datas confidenciais em seus recursos de nuvem.
O aviso prévio dessa alteração apareceu nos últimos seis meses na página Alterações futuras importantes no Microsoft Defender for Cloud .
Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
Anteriormente, o alerta a seguir estava disponível apenas para organizações que haviam habilitado o plano Microsoft Defender para DNS .
Com essa atualização, o alerta também será exibido para assinaturas com o plano Microsoft Defender for Servers ou Defender for App Service habilitado.
Além disso, o Microsoft Threat Intelligence expandiu a lista de domínios maliciosos conhecidos para incluir domínios associados à exploração das vulnerabilidades amplamente divulgadas associadas ao Log4j.
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Comunicação com domínio suspeito identificado por informações sobre ameaças (AzureDNS_ThreatIntelSuspectDomain) |
A comunicação com domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios maliciosos conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido. | Acesso Inicial / Persistência / Execução / Comando e Controlo / Exploração | Medium |
Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.
O novo botão Copiar alerta JSON coloca os detalhes do alerta, em formato JSON, na área de transferência do usuário.
Duas recomendações renomeadas
Para consistência com outros nomes de recomendação, renomeamos as duas recomendações a seguir:
Recomendação para resolver vulnerabilidades descobertas na execução de imagens de contêiner
- Nome anterior: Vulnerabilidades na execução de imagens de contêiner devem ser corrigidas (alimentado pela Qualys)
- Novo nome: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas
Recomendação para habilitar logs de diagnóstico para o Serviço de Aplicativo do Azure
- Nome anterior: os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
- Novo nome: os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
Substituímos que os contêineres de cluster do Kubernetes só devem escutar na recomendação de portas permitidas.
| Policy name | Description | Effect(s) | Version |
|---|---|---|---|
| Os contêineres de cluster do Kubernetes só devem escutar nas portas permitidas | Restrinja os contêineres para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e pré-visualização para o Motor AKS e o Kubernetes ativado para Azure Arc. Para obter mais informações, consulte Compreender a política do Azure para clusters Kubernetes. | auditoria, negar, desativado | 6.1.2 |
Os Serviços devem escutar apenas as portas permitidas A recomendação deve ser usada para limitar as portas que um aplicativo expõe à Internet.
Pasta de trabalho 'Alerta Ativo' adicionada
Para ajudar nossos usuários a entender as ameaças ativas a seus ambientes e priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.
A pasta de trabalho de alertas ativos permite que os usuários visualizem um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas ativos'.
Recomendação de 'atualização do sistema' adicionada à nuvem do governo
A recomendação 'Atualizações do sistema devem ser instaladas em suas máquinas' já está disponível em todas as nuvens governamentais.
É provável que essa alteração afete a pontuação segura da sua assinatura de nuvem do governo. Esperamos que a mudança leve a uma diminuição da pontuação, mas é possível que a inclusão da recomendação possa resultar em um aumento da pontuação em alguns casos.
December 2021
As atualizações em dezembro incluem:
- Plano do Microsoft Defender for Containers lançado para disponibilidade geral (GA)
- Novos alertas para o Microsoft Defender for Storage lançados para disponibilidade geral (GA)
- Melhorias nos alertas do Microsoft Defender for Storage
- Alerta 'PortSweeping' removido dos alertas da camada de rede
Plano do Microsoft Defender for Containers lançado para disponibilidade geral (GA)
Há mais de dois anos, introduzimos o Defender para Kubernetes e o Defender para registros de contêiner como parte da oferta do Azure Defender no Microsoft Defender for Cloud.
Com o lançamento do Microsoft Defender for Containers, mesclamos esses dois planos existentes do Defender.
O novo plano:
- Combina os recursos dos dois planos existentes - deteção de ameaças para clusters Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
- Traz recursos novos e aprimorados - incluindo suporte multicloud, deteção de ameaças no nível do host com mais de sessenta novas análises com reconhecimento de Kubernetes e avaliação de vulnerabilidade para execução de imagens
- Introduz a integração em escala nativa do Kubernetes - por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente
Com esta versão, a disponibilidade e a apresentação do Defender for Kubernetes e do Defender for container registries foram alteradas da seguinte forma:
- Novas subscrições - Os dois planos de contentores anteriores já não estão disponíveis
- Existing subscriptions - Wherever they appear in the Azure portal, the plans are shown as Deprecated with instructions for how to upgrade to the newer plan
O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para o Defender for Containers, e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Apresentando o Microsoft Defender for Containers.
Para obter mais informações, consulte:
- Descrição geral do Microsoft Defender para contentores
- Habilitar o Microsoft Defender para contêineres
- Apresentando o Microsoft Defender for Containers - Microsoft Tech Community
- Microsoft Defender para contêineres | Defender a nuvem no campo #3 - YouTube
Novos alertas para o Microsoft Defender for Storage lançados para disponibilidade geral (GA)
Os agentes de ameaças usam ferramentas e scripts para procurar contêineres abertos publicamente na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais.
O Microsoft Defender for Storage deteta esses scanners para que você possa bloqueá-los e corrigir sua postura.
O alerta de visualização que detetou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". To provide greater clarity about the suspicious events discovered, we've divided this into two new alerts. Esses alertas são relevantes apenas para o Armazenamento de Blobs do Azure.
Melhorámos a lógica de deteção, atualizámos os metadados do alerta e alterámos o nome e o tipo de alerta.
Estes são os novos alertas:
| Alerta (tipo de alerta) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
Contêineres de armazenamento acessíveis ao público descobertos com êxito (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de varredura. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Contêineres de armazenamento acessíveis publicamente verificados sem êxito (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Uma série de tentativas fracassadas de verificar se há contêineres de armazenamento abertos publicamente foram realizadas na última hora. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Visão geral do Microsoft Defender for Storage
- Lista de alertas fornecidos pelo Microsoft Defender for Storage
Melhorias nos alertas do Microsoft Defender for Storage
Os alertas de acesso iniciais agora têm maior precisão e mais dados para apoiar a investigação.
Os agentes de ameaças usam várias técnicas no acesso inicial para ganhar uma posição dentro de uma rede. Dois dos alertas do Microsoft Defender for Storage que detetam anomalias comportamentais neste estágio agora têm lógica de deteção aprimorada e dados adicionais para dar suporte às investigações.
If you've configured automations or defined alert suppression rules for these alerts in the past, update them in accordance with these changes.
Detetando o acesso de um nó de saída do Tor
O acesso de um nó de saída do Tor pode indicar um agente de ameaça tentando ocultar sua identidade.
O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
Um padrão periférico terá alta gravidade, enquanto padrões menos anômalos terão gravidade média.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): Acesso de um nó de saída do Tor a uma conta de armazenamento
- Nome do alerta (novo): Acesso autenticado de um nó de saída do Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descrição: Um ou mais contêineres de armazenamento / compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizante). Os agentes de ameaças usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Tática MITRE: Acesso inicial
- Severity: High/Medium
Acesso não autenticado incomum
Uma alteração nos padrões de acesso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.
Este alerta de gravidade média está agora sintonizado com uma lógica comportamental melhorada, maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
- Nome do alerta (novo): Acesso não autenticado incomum a um contêiner de armazenamento
- Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descrição: Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura ao(s) contêiner(es) de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure
- Tática MITRE: Coleção
- Severity: Medium
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Introdução ao Microsoft Defender for Storage
- Lista de alertas fornecidos pelo Microsoft Defender for Storage
Alerta 'PortSweeping' removido dos alertas da camada de rede
O seguinte alerta foi removido dos nossos alertas de camada de rede devido a ineficiências:
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Possível atividade de varredura de porta de saída detetada (PortSweeping) |
A análise de tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido}. Esse tráfego pode ser resultado de uma atividade de varredura de portas. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta é contrária aos Termos de Serviço do Azure. Se esse comportamento não for intencional, isso pode significar que seu recurso foi comprometido. | Discovery | Medium |
November 2021
Nossa versão Ignite inclui:
- Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender for Cloud
- CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
- Priorize ações de segurança por sensibilidade de dados (com tecnologia Microsoft Purview) (em visualização)
- Avaliações de controlo de segurança expandidas com o Azure Security Benchmark v3
- Sincronização de alerta bidirecional opcional do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
- Nova recomendação para enviar logs do Serviço Kubernetes do Azure (AKS) para o Microsoft Sentinel
- Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Outras mudanças em novembro incluem:
- Microsoft Threat and Vulnerability Management adicionado como solução de avaliação de vulnerabilidades - lançado para disponibilidade geral (GA)
- Microsoft Defender for Endpoint para Linux agora suportado pelo Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
- Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
- Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
- Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
- Nova política de segurança AKS adicionada à iniciativa padrão – visualização
- A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender for Cloud
De acordo com o relatório State of the Cloud 2021, 92% das organizações agora têm uma estratégia multicloud. Na Microsoft, nosso objetivo é centralizar a segurança em todos os ambientes e ajudar as equipes de segurança a trabalhar de forma mais eficaz.
O Microsoft Defender for Cloud é uma solução de Gerenciamento de Postura de Segurança na Nuvem (CSPM) e CWPP (Cloud Workload Protection Platform) que deteta pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura geral de segurança do seu ambiente e protege cargas de trabalho em ambientes multicloud e híbridos.
Na Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger seu patrimônio digital e integrar tecnologias XDR sob a marca Microsoft Defender. Unificar a Central de Segurança do Azure e o Azure Defender sob o novo nome Microsoft Defender for Cloud reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de oferecer suporte a qualquer plataforma de nuvem.
CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
A new environment settings page provides greater visibility and control over your management groups, subscriptions, and AWS accounts. The page is designed to onboard AWS accounts at scale: connect your AWS management account, and you'll automatically onboard existing and future accounts.
Quando você adiciona suas contas da AWS, o Defender for Cloud protege seus recursos da AWS com um ou todos os seguintes planos:
- Os recursos CSPM do Defender for Cloud se estendem aos seus recursos da AWS. Esse plano sem agente avalia seus recursos da AWS de acordo com recomendações de segurança específicas da AWS e elas estão incluídas em sua pontuação segura. Os recursos também serão avaliados quanto à conformidade com padrões integrados específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multinuvem que ajuda você a gerenciar seus recursos da AWS junto com seus recursos do Azure.
- O Microsoft Defender for Kubernetes estende sua deteção de ameaças de contêiner e defesas avançadas para seus clusters Linux do Amazon EKS.
- O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas instâncias EC2 do Windows e Linux. Este plano inclui a licença integrada para o Microsoft Defender for Endpoint, linhas de base de segurança e avaliações de nível de SO, verificação de avaliação de vulnerabilidade, controles de aplicativos adaptáveis (AAC), monitoramento de integridade de arquivos (FIM) e muito mais.
Saiba mais sobre como conectar suas contas da AWS ao Microsoft Defender for Cloud.
Priorize ações de segurança por sensibilidade de dados (com tecnologia Microsoft Purview) (em visualização)
Os recursos de dados continuam a ser um alvo popular para os agentes de ameaças. Por isso, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais em seus ambientes de nuvem.
To address this challenge, Microsoft Defender for Cloud now integrates sensitivity information from Microsoft Purview. O Microsoft Purview é um serviço unificado de governança de dados que fornece informações detalhadas sobre a sensibilidade de seus dados em cargas de trabalho multicloud e locais.
A integração com o Microsoft Purview amplia sua visibilidade de segurança no Defender for Cloud desde o nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.
Saiba mais em Priorizar ações de segurança por sensibilidade de dados.
Avaliações de controlo de segurança expandidas com o Azure Security Benchmark v3
As recomendações de segurança no Defender for Cloud são suportadas pelo Benchmark de Segurança do Azure.
O Azure Security Benchmark é o conjunto de diretrizes específico do Azure criado pela Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
From Ignite 2021, Azure Security Benchmark v3 is available in Defender for Cloud's regulatory compliance dashboard and enabled as the new default initiative for all Azure subscriptions protected with Microsoft Defender for Cloud.
Os aprimoramentos para v3 incluem:
Additional mappings to industry frameworks PCI-DSS v3.2.1 and CIS Controls v8.
Orientações mais granulares e acionáveis para os controlos, com a introdução de:
- Security Principles - Providing insight into the overall security objectives that build the foundation for our recommendations.
- Azure Guidance - The technical "how-to" for meeting these objectives.
Os novos controles incluem segurança de DevOps para problemas como modelagem de ameaças e segurança da cadeia de suprimentos de software, bem como gerenciamento de chaves e certificados para práticas recomendadas no Azure.
Saiba mais em Introdução ao Benchmark de Segurança do Azure.
Sincronização de alerta bidirecional opcional do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
In July, we announced a preview feature, bi-directional alert synchronization, for the built-in connector in Microsoft Sentinel (Microsoft's cloud-native SIEM and SOAR solution). Este recurso agora está liberado para disponibilidade geral (GA).
Quando você conecta o Microsoft Defender for Cloud ao Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também será exibido como fechado no Microsoft Sentinel. Changing the status of an alert in Defender for Cloud won't affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
Ao ativar a sincronização de alertas bidirecional, você sincronizará automaticamente o status dos alertas originais do Defender for Cloud com incidentes do Microsoft Sentinel que contenham as cópias desses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo um alerta do Defender for Cloud for fechado, o Defender for Cloud fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure e Transmitir alertas para o Microsoft Sentinel.
Nova recomendação para enviar logs do Serviço Kubernetes do Azure (AKS) para o Microsoft Sentinel
Em um aprimoramento adicional do valor combinado do Defender for Cloud e do Microsoft Sentinel, agora destacaremos as instâncias do Serviço Kubernetes do Azure que não estão enviando dados de log para o Microsoft Sentinel.
As equipes do SecOps podem escolher o espaço de trabalho relevante do Microsoft Sentinel diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir uma cobertura completa de registro em todas as suas cargas de trabalho para se manterem no topo de todo o ambiente.
A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados" inclui a opção 'Corrigir' para uma correção mais rápida.
Também aprimoramos a recomendação "A auditoria no servidor SQL deve ser habilitada" com os mesmos recursos de streaming do Microsoft Sentinel.
Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Aprimoramos as recomendações de segurança do Defender for Cloud para mostrar sua posição sobre a estrutura MITRE ATT&CK®. Esta base de conhecimento globalmente acessível de táticas e técnicas de agentes de ameaças com base em observações do mundo real, fornece mais contexto para ajudá-lo a entender os riscos associados das recomendações para seu ambiente.
Você encontrará estas táticas sempre que acessar informações de recomendação:
Os resultados da consulta do Azure Resource Graph para recomendações relevantes incluem as táticas e técnicas MITRE ATT&CK®.
As páginas de detalhes das recomendações mostram o mapeamento de todas as recomendações relevantes:
A página de recomendações no Defender for Cloud tem um novo
filtro para selecionar recomendações de acordo com a tática associada:
Saiba mais em Rever as suas recomendações de segurança.
Microsoft Threat and Vulnerability Management adicionado como solução de avaliação de vulnerabilidades - lançado para disponibilidade geral (GA)
In October, we announced an extension to the integration between Microsoft Defender for Servers and Microsoft Defender for Endpoint, to support a new vulnerability assessment provider for your machines: Microsoft threat and vulnerability management. Este recurso agora está liberado para disponibilidade geral (GA).
Use o gerenciamento de ameaças e vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com o Microsoft Defender for Endpoint habilitada e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigar fraquezas com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint.
Microsoft Defender for Endpoint para Linux agora suportado pelo Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
In August, we announced preview support for deploying the Defender for Endpoint for Linux sensor to supported Linux machines. Este recurso agora está liberado para disponibilidade geral (GA).
O Microsoft Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender for Cloud. No Defender for Cloud, você também pode girar para o console do Defender for Endpoint e executar uma investigação detalhada para descobrir o escopo do ataque.
Saiba mais em Proteja seus endpoints com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
O Defender for Cloud gera alertas e recomendações de segurança detalhados. Pode visualizá-los no portal ou através de ferramentas programáticas. Também pode ser necessário exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
Defender for Cloud's continuous export feature lets you fully customize what will be exported, and where it will go. Saiba mais em Exportar continuamente dados do Microsoft Defender for Cloud.
Even though the feature is called continuous, there's also an option to export weekly snapshots. Até agora, esses instantâneos semanais eram limitados a dados seguros de pontuação e conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.
Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
In October, we announced the addition of vulnerability assessment solutions to Defender for Cloud's autoprovisioning page. Isso é relevante para máquinas virtuais do Azure e máquinas Azure Arc em assinaturas protegidas pelo Azure Defender for Servers. Este recurso agora está liberado para disponibilidade geral (GA).
Se a integração com o Microsoft Defender for Endpoint estiver habilitada, o Defender for Cloud apresentará uma variedade de soluções de avaliação de vulnerabilidade:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
In October, we announced new filters for the asset inventory page to select machines running specific software - and even specify the versions of interest. Este recurso agora está liberado para disponibilidade geral (GA).
Você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses recursos, você precisará habilitar a integração com o Microsoft Defender for Endpoint.
Para obter detalhes completos, incluindo consultas Kusto de exemplo para o Azure Resource Graph, consulte Acessar um inventário de software.
Nova política de segurança AKS adicionada à iniciativa padrão
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, o Defender for Cloud inclui políticas de nível do Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para limitar a implantação em clusters Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a visualização relacionada.
Você pode ignorar com segurança as políticas e recomendações ("Os clusters Kubernetes devem impedir a implantação de imagens vulneráveis") e não haverá impacto no seu ambiente.
Se quiser participar na pré-visualização, terá de ser membro do anel de pré-visualização. If you're not already a member, submit a request here. Os membros serão notificados quando a pré-visualização começar.
A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
To improve the presentation of resources in the Asset inventory, we've removed the "source-computer-IP" element from the template for naming on-premises machines.
-
Previous format:
machine-name_source-computer-id_VMUUID -
A partir desta atualização:
machine-name_VMUUID
October 2021
As atualizações em outubro incluem:
- Gerenciamento de ameaças e vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidades (em visualização)
- As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
- Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
- Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
- Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
- As páginas de detalhes das recomendações agora mostram recomendações relacionadas
- Novos alertas para o Azure Defender for Kubernetes (em visualização)
Gerenciamento de ameaças e vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidades (em visualização)
Alargámos a integração entre o Azure Defender for Servers e o Microsoft Defender for Endpoint, para suportar um novo fornecedor de avaliação de vulnerabilidades para as suas máquinas: a gestão de ameaças e vulnerabilidades da Microsoft.
Use o gerenciamento de ameaças e vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com o Microsoft Defender for Endpoint habilitada e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigar fraquezas com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint.
As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para máquinas virtuais do Azure e máquinas Azure Arc em assinaturas protegidas pelo Azure Defender for Servers.
Se a integração com o Microsoft Defender for Endpoint estiver habilitada, o Defender for Cloud apresentará uma variedade de soluções de avaliação de vulnerabilidade:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
The asset inventory page now includes a filter to select machines running specific software - and even specify the versions of interest.
Além disso, você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses novos recursos, você precisará habilitar a integração com o Microsoft Defender for Endpoint.
Para obter detalhes completos, incluindo consultas Kusto de exemplo para o Azure Resource Graph, consulte Acessar um inventário de software.
Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
Em julho de 2021, anunciamos uma reorganização lógica dos alertas do Azure Defender for Resource Manager
Durante a reorganização dos planos do Defender, movemos alertas do Azure Defender for Resource Manager para o Azure Defender for Servers.
Com esta atualização, alteramos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na tabela a seguir:
| Original name | A partir desta mudança |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Saiba mais sobre os planos Azure Defender for Resource Manager e Azure Defender for Servers .
Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
A recomendação "Os clusters Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nesta recomendação foram removidos: ConfigMap e Secret.
Saiba mais sobre essa recomendação e como proteger seus clusters do Kubernetes em Compreender a Política do Azure para clusters do Kubernetes.
As páginas de detalhes das recomendações agora mostram recomendações relacionadas
To clarify the relationships between different recommendations, we've added a Related recommendations area to the details pages of many recommendations.
Os três tipos de relacionamento mostrados nestas páginas são:
- Prerequisite - A recommendation that must be completed before the selected recommendation
- Alternative - A different recommendation which provides another way of achieving the goals of the selected recommendation
- Dependent - A recommendation for which the selected recommendation is a prerequisite
Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".
Tip
Se uma recomendação relacionada estiver acinzentada, sua dependência ainda não foi concluída e, portanto, não está disponível.
Um exemplo de recomendações relacionadas:
A Central de Segurança verifica suas máquinas em busca de soluções de avaliação de vulnerabilidades suportadas:
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuaisSe uma for encontrada, você será notificado sobre vulnerabilidades descobertas:
As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Obviamente, a Central de Segurança não pode notificá-lo sobre vulnerabilidades descobertas, a menos que encontre uma solução de avaliação de vulnerabilidade compatível.
Therefore:
- A recomendação #1 é um pré-requisito para a recomendação #2
- A recomendação #2 depende da recomendação #1
Novos alertas para o Azure Defender for Kubernetes (em visualização)
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Kubernetes, adicionamos dois alertas de visualização.
Esses alertas são gerados com base em um novo modelo de aprendizado de máquina e análises avançadas do Kubernetes, medindo vários atributos de implantação e atribuição de função em relação a atividades anteriores no cluster e em todos os clusters monitorados pelo Azure Defender.
| Alerta (tipo de alerta) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
Implantação anômala de pods (Visualização) (K8S_AnomalousPodDeployment) |
A análise do log de auditoria do Kubernetes detetou a implantação do pod que é anômala, com base na atividade anterior de implantação do pod. Esta atividade é considerada uma anomalia quando se leva em conta como as diferentes características vistas na operação de implantação estão em relação umas com as outras. Os recursos monitorados por essa análise incluem o registro de imagem de contêiner usado, a conta que executa a implantação, o dia da semana, a frequência com que essa conta executa implantações de pod, o agente de usuário usado na operação, é este um namespace que é a implantação de pod ocorre com frequência, ou outro recurso. Os principais motivos que contribuem para gerar esse alerta como atividade anômala são detalhados nas propriedades estendidas do alerta. | Execution | Medium |
|
Permissões de função excessivas atribuídas no cluster do Kubernetes (Visualização) (K8S_ServiceAcountPermissionAnomaly) |
A análise dos logs de auditoria do Kubernetes detetou uma atribuição excessiva de função de permissões ao cluster. Ao examinar atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa deteção considera atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, o volume por permissão e o impacto da permissão específica. O modelo de deteção de anomalias usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados pelo Azure Defender. | Privilege Escalation | Low |
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
September 2021
Em setembro, a seguinte atualização foi lançada:
Duas novas recomendações para auditar as configurações do SO para conformidade com a linha de base de segurança do Azure (em pré-visualização)
As duas recomendações a seguir foram lançadas para avaliar a conformidade de suas máquinas com a linha de base de segurança do Windows e a linha de base de segurança do Linux:
- Para máquinas Windows, as vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (alimentadas pela Configuração de convidado)
- Para máquinas Linux, as vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentadas pela Configuração de convidado)
Essas recomendações usam o recurso de configuração de convidado da Política do Azure para comparar a configuração do sistema operacional de uma máquina com a linha de base definida no Benchmark de Segurança do Azure.
Saiba mais sobre como usar essas recomendações na configuração do sistema operacional de uma máquina usando a configuração de convidado.
August 2021
As atualizações em agosto incluem:
- Microsoft Defender for Endpoint para Linux agora suportado pelo Azure Defender for Servers (em pré-visualização)
- Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
- Solução de problemas integrada e orientação para resolver problemas comuns
- Relatórios de auditoria do Azure do painel de conformidade regulamentar lançados para disponibilidade geral (GA)
- Recomendação preterida "Problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas"
- O Azure Defender para registros de contêiner agora verifica vulnerabilidades em registros protegidos com o Azure Private Link
- A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado da Política do Azure (em visualização)
- As recomendações agora suportam "Enforce".
- Exportações CSV de dados de recomendação agora limitadas a 20 MB
- A página de recomendações agora inclui várias visualizações
Microsoft Defender for Endpoint para Linux agora suportado pelo Azure Defender for Servers (em pré-visualização)
O Azure Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é apresentado no Centro de Segurança. Na Central de Segurança, você também pode girar para o console do Defender for Endpoint e realizar uma investigação detalhada para descobrir o escopo do ataque.
Durante o período de visualização, você implantará o sensor Defender for Endpoint for Linux em máquinas Linux suportadas de uma das duas maneiras, dependendo se você já o implantou em suas máquinas Windows:
- Usuários existentes com os recursos de segurança aprimorados do Defender for Cloud habilitados e o Microsoft Defender for Endpoint para Windows
- Novos usuários que nunca habilitaram a integração com o Microsoft Defender for Endpoint para Windows
Saiba mais em Proteja seus endpoints com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
We've added two preview recommendations to deploy and maintain the endpoint protection solutions on your machines. Ambas as recomendações incluem suporte para máquinas virtuais do Azure e máquinas conectadas a servidores habilitados para Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada.
Saiba mais sobre como o Endpoint Protection para máquinas é avaliado. (Política relacionada: Monitorar o Endpoint Protection ausente na Central de Segurança do Azure) |
High |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. Azure Security Center supported endpoint protection solutions are documented here. Endpoint protection assessment is documented here. (Política relacionada: Monitorar o Endpoint Protection ausente na Central de Segurança do Azure) |
Medium |
Note
As recomendações mostram seu intervalo de frescor como 8 horas, mas há alguns cenários em que isso pode levar significativamente mais tempo. Por exemplo, quando uma máquina local é excluída, leva 24 horas para a Central de Segurança identificar a exclusão. Depois disso, a avaliação levará até 8 horas para devolver as informações. Nessa situação específica, portanto, pode levar 32 horas para que a máquina seja removida da lista de recursos afetados.
Solução de problemas integrada e orientação para resolver problemas comuns
Uma nova área dedicada das páginas da Central de Segurança no portal do Azure fornece um conjunto agrupado e cada vez maior de materiais de autoajuda para resolver desafios comuns com a Central de Segurança e o Azure Defender.
Quando você está enfrentando um problema, ou está procurando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudá-lo a encontrar a solução:
Relatórios de auditoria do Azure do painel de conformidade regulamentar lançados para disponibilidade geral (GA)
A barra de ferramentas do painel de conformidade regulamentar oferece relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Para obter mais informações, consulte Gerar relatórios e certificados de status de conformidade.
Recomendação preterida "Problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas"
Descobrimos que os problemas de integridade do agente do Log Analytics de recomendação devem ser resolvidos em suas máquinas e afetam as pontuações seguras de maneiras inconsistentes com o foco do CSPM (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o CSPM está relacionado à identificação de configurações incorretas de segurança. Os problemas de saúde do agente não se encaixam nessa categoria de problemas.
Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados com o Centro de Segurança: este é o único agente com uma recomendação relacionada com questões de saúde.
A recomendação foi preterida.
Como resultado dessa depreciação, também fizemos pequenas alterações nas recomendações para instalar o agente do Log Analytics (o agente do Log Analytics deve ser instalado em...).
É provável que essa alteração afete suas pontuações seguras. Para a maioria das assinaturas, esperamos que a alteração leve a um aumento da pontuação, mas é possível que as atualizações da recomendação de instalação resultem em pontuações reduzidas em alguns casos.
Tip
The asset inventory page was also affected by this change as it displays the monitored status for machines (monitored, not monitored, or partially monitored - a state which refers to an agent with health issues).
O Azure Defender para registros de contêiner agora verifica vulnerabilidades em registros protegidos com o Azure Private Link
O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade para verificar imagens em seus registros do Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir descobertas em Usar o Azure Defender para registros de contêiner para verificar suas imagens em busca de vulnerabilidades.
Para limitar o acesso a um registro hospedado no Registro de Contêiner do Azure, atribua endereços IP privados de rede virtual aos pontos de extremidade do Registro e use o Link Privado do Azure, conforme explicado em Conectar-se de forma privada a um registro de contêiner do Azure usando o Azure Private Link.
Como parte de nossos esforços contínuos para oferecer suporte a ambientes e casos de uso adicionais, o Azure Defender agora também verifica registros de contêiner protegidos com o Azure Private Link.
A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado da Política do Azure (em visualização)
A Política do Azure pode auditar configurações dentro de uma máquina, tanto para máquinas em execução no Azure quanto para máquinas conectadas ao Arc. A validação é executada pela extensão da Configuração de Convidado e pelo cliente. Saiba mais em Compreender a Configuração de Convidado da Política do Azure.
Com esta atualização, pode agora definir o Centro de Segurança para aprovisionar automaticamente esta extensão para todos os computadores suportados.
Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.
As recomendações agora suportam "Enforce"
Security Center includes two features that help ensure newly created resources are provisioned in a secure manner: enforce and deny. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:
- Deny stops unhealthy resources from being created
- Enforce automatically remediates non-compliant resources when they're created
Com essa atualização, a opção de imposição agora está disponível nas recomendações para habilitar os planos do Azure Defender (como o Azure Defender for App Service deve ser habilitado, o Azure Defender for Key Vault deve ser habilitado, o Azure Defender for Storage deve ser habilitado).
Saiba mais sobre essas opções em Evitar configurações incorretas com recomendações de Impor/Negar.
Exportações CSV de dados de recomendação agora limitadas a 20 MB
Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.
Se você precisar exportar quantidades maiores de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.
Saiba mais sobre como realizar uma exportação CSV de suas recomendações de segurança.
A página de recomendações agora inclui várias visualizações
A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:
- Recomendações de pontuação segura - Use esta guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
- All recommendations - Use this tab to view the list of recommendations as a flat list. Essa guia também é ótima para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com recomendações em O que são políticas, iniciativas e recomendações de segurança?.
July 2021
As atualizações em julho incluem:
- O conector Microsoft Sentinel agora inclui sincronização de alerta bidirecional opcional (em visualização)
- Reorganização lógica dos alertas do Azure Defender for Resource Manager
- Aprimoramentos na recomendação para habilitar o Azure Disk Encryption (ADE)
- Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
- Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
- Modelo de pasta de trabalho 'Conformidade ao longo do tempo' adicionado à galeria de Pastas de Trabalho do Azure Monitor
O conector Microsoft Sentinel agora inclui sincronização de alerta bidirecional opcional (em visualização)
Security Center natively integrates with Microsoft Sentinel, Azure's cloud-native SIEM and SOAR solution.
O Microsoft Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em Transmitir alertas para o Microsoft Sentinel.
Quando você conecta o Azure Defender ao Microsoft Sentinel, o status dos alertas do Azure Defender que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Azure Defender, esse alerta também será exibido como fechado no Microsoft Sentinel. Changing the status of an alert in Azure Defender "won't"* affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
Quando você habilita a sincronização de alertas bidirecionais do recurso de visualização, ela sincroniza automaticamente o status dos alertas originais do Azure Defender com incidentes do Microsoft Sentinel que contêm cópias desses alertas do Azure Defender. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo um alerta do Azure Defender é fechado, o Azure Defender fecha automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure.
Reorganização lógica dos alertas do Azure Defender for Resource Manager
Os alertas listados abaixo foram fornecidos como parte do plano do Azure Defender for Resource Manager .
Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos alguns alertas do Azure Defender for Resource Manager para o Azure Defender for Servers.
Os alertas estão organizados de acordo com dois princípios principais:
- Os alertas que fornecem proteção de plano de controle - em muitos tipos de recursos do Azure - fazem parte do Azure Defender for Resource Manager
- Os alertas que protegem cargas de trabalho específicas estão no plano do Azure Defender relacionado à carga de trabalho correspondente
Estes são os alertas que faziam parte do Azure Defender for Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender for Servers:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Saiba mais sobre os planos Azure Defender for Resource Manager e Azure Defender for Servers .
Aprimoramentos na recomendação para habilitar o Azure Disk Encryption (ADE)
Após os comentários dos usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.
A nova recomendação usa a mesma ID de avaliação e é chamada de Máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento.
A descrição também foi atualizada para explicar melhor o objetivo desta recomendação de endurecimento:
| Recommendation | Description | Severity |
|---|---|---|
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; Os discos temporários e os caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Para obter mais informações, consulte a comparação de diferentes tecnologias de criptografia de disco no Azure. Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere esta recomendação se: (1) estiver a utilizar a funcionalidade de encriptação no anfitrião ou (2) a encriptação do lado do servidor em Managed Disks cumprir os seus requisitos de segurança. Saiba mais em Criptografia do lado do servidor do Armazenamento em Disco do Azure. |
High |
Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
Continuous export provides the mechanism for exporting your security alerts and recommendations for tracking with other monitoring tools in your environment.
Ao configurar sua exportação contínua, você configura o que é exportado e para onde ele irá. Saiba mais na visão geral da exportação contínua.
Aprimoramos e expandimos esse recurso ao longo do tempo:
In November 2020, we added the preview option to stream changes to your secure score.
In December 2020, we added the preview option to stream changes to your regulatory compliance assessment data.
Com esta atualização, essas duas opções são liberadas para disponibilidade geral (GA).
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
In February 2021, we added a preview third data type to the trigger options for your workflow automations: changes to regulatory compliance assessments. Saiba mais em As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulamentar.
Com esta atualização, essa opção de gatilho é liberada para disponibilidade geral (GA).
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
In May 2021, we updated the Assessment API with two new fields, FirstEvaluationDate and StatusChangeDate. Para obter detalhes completos, consulte API de avaliações expandida com dois novos campos.
Esses campos eram acessíveis por meio da API REST, do Azure Resource Graph, da exportação contínua e das exportações CSV.
Com essa alteração, estamos disponibilizando as informações no esquema do espaço de trabalho do Log Analytics e em aplicativos lógicos.
Modelo de pasta de trabalho 'Conformidade ao longo do tempo' adicionado à galeria de Pastas de Trabalho do Azure Monitor
Em março, anunciámos a experiência integrada de Livros do Azure Monitor no Centro de Segurança (consulte Livros do Azure Monitor integrados no Centro de Segurança e três modelos fornecidos).
A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.
Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
June 2021
As atualizações em junho incluem:
- Novo alerta para o Azure Defender for Key Vault
- Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
- Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
- Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
Novo alerta para o Azure Defender for Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Key Vault, adicionamos o seguinte alerta:
| Alerta (tipo de alerta) | Description | MITRE tactic | Severity |
|---|---|---|---|
| Acesso a partir de um endereço IP suspeito a um cofre de chaves (KV_SuspiciousIPAccess) |
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. | Credential Access | Medium |
Para obter mais informações, consulte:
- Introdução ao Azure Defender for Key Vault
- Responder aos alertas do Azure Defender for Key Vault
- Lista de alertas fornecidos pelo Azure Defender for Key Vault
Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
A Central de Segurança inclui várias recomendações para criptografar dados em repouso com chaves gerenciadas pelo cliente, como:
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
Os dados no Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando necessário para conformidade com uma política específica que sua organização está optando por impor.
Com essa alteração, as recomendações para usar CMKs agora são desabilitadas por padrão. When relevant for your organization, you can enable them by changing the Effect parameter for the corresponding security policy to AuditIfNotExists or Enforce. Saiba mais em Ativar uma recomendação de segurança.
Essa alteração é refletida nos nomes da recomendação com um novo prefixo, [Habilitar se necessário], conforme mostrado nos exemplos a seguir:
- [Ativar, se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados em repouso
- [Ativar, se necessário] Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- [Ativar, se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
O Azure Defender for Kubernetes foi recentemente expandido para proteger clusters Kubernetes hospedados no local e em ambientes multicloud. Saiba mais em Usar o Azure Defender para Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização).
Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender for Kubernetes não estão mais restritos a clusters no Serviço Kubernetes do Azure, alteramos o prefixo dos tipos de alerta de "AKS_" para "K8S_". Sempre que necessário, os nomes e as descrições também foram atualizados. Por exemplo, este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (AKS_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the AKS cluster. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Alterado para este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (K8S_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the Kubernetes cluster. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Todas as regras de supressão que se referem a alertas que iniciam "AKS_" foram convertidas automaticamente. Se você configurou exportações SIEM ou scripts de automação personalizados que se referem a alertas do Kubernetes por tipo de alerta, será necessário atualizá-los com os novos tipos de alerta.
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
As duas recomendações seguintes foram preteridas:
- A versão do SO deve ser atualizada para as suas funções de serviço na nuvem - Por predefinição, o Azure atualiza periodicamente o seu SO convidado para a imagem suportada mais recente dentro da família de SO que especificou na sua configuração de serviço (.cscfg), como o Windows Server 2016.
- Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes - As avaliações desta recomendação não são tão abrangentes quanto gostaríamos que fossem. Planeamos substituir a recomendação por uma versão melhorada mais alinhada com as suas necessidades de segurança.
May 2021
As atualizações em maio incluem:
- Azure Defender para DNS e Azure Defender for Resource Manager lançados para disponibilidade geral (GA)
- Azure Defender para bancos de dados relacionais de código aberto lançados para disponibilidade geral (GA)
- Novos alertas para o Azure Defender for Resource Manager
- Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (visualização)
- Mais consultas do Resource Graph disponíveis para algumas recomendações
- Severidade da recomendação de classificação de dados SQL alterada
- Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
- Novas recomendações para proteger clusters do Kubernetes (em visualização)
- API de avaliações expandida com dois novos campos
- O inventário de ativos obtém um filtro de ambiente de nuvem
Azure Defender para DNS e Azure Defender for Resource Manager lançados para disponibilidade geral (GA)
Esses dois planos de proteção contra ameaças de amplitude nativa da nuvem agora são GA.
Estas novas proteções melhoram significativamente a sua resiliência contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender for Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender for DNS - monitoriza continuamente todas as consultas DNS a partir dos seus recursos do Azure. Para obter mais informações, consulte:
Para simplificar o processo de habilitação desses planos, use as recomendações:
- O Azure Defender for Resource Manager deve estar habilitado
- O Azure Defender para DNS deve estar habilitado
Note
Habilitar os planos do Azure Defender resulta em cobranças. Learn about the pricing details per region on Security Center's pricing page.
Azure Defender para bancos de dados relacionais de código aberto lançados para disponibilidade geral (GA)
A Central de Segurança do Azure expande sua oferta de proteção SQL com um novo pacote para cobrir seus bancos de dados relacionais de código aberto:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos do Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e locais
- Azure Defender para bancos de dados relacionais de código aberto - defende seus bancos de dados do Azure para servidores únicos MySQL, PostgreSQL e MariaDB
O Azure Defender para bancos de dados relacionais de código aberto monitora constantemente seus servidores em busca de ameaças à segurança e deteta atividades anômalas do banco de dados indicando ameaças potenciais ao Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:
- Deteção granular de ataques de força bruta - O Azure Defender para bancos de dados relacionais de código aberto fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e responda com uma compreensão mais completa da natureza e do status do ataque ao seu ambiente.
- Deteção de alertas comportamentais - O Azure Defender para bancos de dados relacionais de código aberto alerta você sobre comportamentos suspeitos e inesperados em seus servidores, como alterações no padrão de acesso ao seu banco de dados.
- Deteção baseada em informações sobre ameaças - o Azure Defender aplica a inteligência de ameaças da Microsoft e a vasta base de conhecimento à superfície de alertas de ameaças para que possa agir contra elas.
Saiba mais em Introdução ao Azure Defender para bancos de dados relacionais de código aberto.
Novos alertas para o Azure Defender for Resource Manager
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Resource Manager, adicionamos os seguintes alertas:
| Alerta (tipo de alerta) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Permissões concedidas para uma função RBAC de uma maneira incomum para seu ambiente do Azure (Visualização) (ARM_AnomalousRBACRoleAssignment) |
O Azure Defender for Resource Manager detetou uma atribuição de função RBAC que é invulgar quando comparada com outras atribuições executadas pelo mesmo atribuidor/realizadas para o mesmo cessionário/no seu inquilino devido às seguintes anomalias: tempo de atribuição, localização do cedente, cessionário, método de autenticação, entidades atribuídas, software cliente utilizado, extensão da atribuição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando conceder permissões a uma conta de usuário adicional de sua propriedade. | Movimento Lateral, Evasão de Defesa | Medium |
|
Função personalizada privilegiada criada para a sua subscrição de forma suspeita (Pré-visualização) (ARM_PrivilegedRoleDefinitionCreation) |
O Azure Defender for Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada na sua subscrição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando criar uma função privilegiada para usar no futuro para evitar a deteção. | Movimento Lateral, Evasão de Defesa | Low |
|
Operação do Azure Resource Manager a partir de endereço IP suspeito (Pré-visualização) (ARM_OperationFromSuspiciousIP) |
O Azure Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência de ameaças. | Execution | Medium |
|
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (Pré-visualização) (ARM_OperationFromSuspiciousProxyIP) |
O Azure Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Defense Evasion | Medium |
Para obter mais informações, consulte:
- Introdução ao Azure Defender for Resource Manager
- Responder aos alertas do Azure Defender for Resource Manager
- Lista de alertas fornecidos pelo Azure Defender for Resource Manager
Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (visualização)
O Azure Defender para registros de contêiner agora fornece observabilidade das equipes DevSecOps nos fluxos de trabalho das Ações do GitHub.
The new vulnerability scanning feature for container images, utilizing Trivy, helps you to scan for common vulnerabilities in their container images before pushing images to container registries.
Os relatórios de verificação de contêiner são resumidos na Central de Segurança do Azure, fornecendo às equipes de segurança uma melhor perceção e compreensão sobre a origem das imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde elas se originam.
Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho de CI/CD.
Mais consultas do Resource Graph disponíveis para algumas recomendações
All of Security Center's recommendations have the option to view the information about the status of affected resources using Azure Resource Graph from the Open query. Para obter detalhes completos sobre esse poderoso recurso, consulte Revisar dados de recomendação no Azure Resource Graph Explorer.
A Central de Segurança inclui varreduras de vulnerabilidade internas para verificar suas VMs, servidores SQL e seus hosts e registros de contêiner em busca de vulnerabilidades de segurança. As descobertas são retornadas como recomendações com todas as descobertas individuais para cada tipo de recurso reunidas em uma única exibição. As recomendações são as seguintes:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas (com tecnologia Qualys)
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas
With this change, you can use the Open query button to also open the query showing the security findings.
The Open query button offers additional options for some other recommendations where relevant.
Saiba mais sobre os scanners de vulnerabilidade da Central de Segurança:
- Verificador de vulnerabilidades Qualys integrado do Azure Defender para máquinas Azure e híbridas
- Verificador de avaliação de vulnerabilidades integrado do Azure Defender para servidores SQL
- Verificador integrado de avaliação de vulnerabilidades do Azure Defender para registos de contentores
Severidade da recomendação de classificação de dados SQL alterada
A severidade da recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados foi alterada de Alta para Baixa.
Isto faz parte de uma alteração contínua a esta recomendação anunciada na nossa próxima página de alterações.
Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
Azure offers trusted launch as a seamless way to improve the security of generation 2 VMs. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes. O lançamento confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas. Saiba mais em Início confiável para máquinas virtuais do Azure.
Important
A inicialização confiável requer a criação de novas máquinas virtuais. Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
O lançamento confiável está atualmente em visualização pública. A visualização é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
A recomendação da Central de Segurança, vTPM deve ser habilitado em máquinas virtuais com suporte, garante que suas VMs do Azure estejam usando um vTPM. Esta versão virtualizada de um Trusted Platform Module de hardware permite o atestado medindo toda a cadeia de arranque da sua VM (UEFI, SO, sistema operativo e controladores).
Com o vTPM ativado, a extensão Guest Attestation pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:
- A Inicialização Segura deve ser habilitada em máquinas virtuais Windows suportadas
- A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas
- A extensão de Atestado de Convidado deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual do Windows suportados
- A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Linux suportadas
- A extensão Guest Attestation deve ser instalada em conjuntos de escala de máquina virtual Linux suportados
Saiba mais em Início confiável para máquinas virtuais do Azure.
Novas recomendações para proteger clusters do Kubernetes (em visualização)
As recomendações a seguir permitem que você proteja ainda mais seus clusters do Kubernetes
- Os clusters Kubernetes não devem usar o namespace padrão - Para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount, impeça o uso do namespace padrão em clusters Kubernetes.
- Os clusters do Kubernetes devem desabilitar as credenciais da API de montagem automática - Para evitar que um recurso de Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes, desative as credenciais de API de montagem automática.
- Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Saiba como a Central de Segurança pode proteger seus ambientes em contêineres na Segurança de contêineres na Central de Segurança.
API de avaliações expandida com dois novos campos
Adicionamos os dois campos a seguir à API REST de avaliações:
- FirstEvaluationDate – The time that the recommendation was created and first evaluated. Retornado como hora UTC no formato ISO 8601.
- StatusChangeDate – The time that the status of the recommendation last changed. Retornado como hora UTC no formato ISO 8601.
O valor padrão inicial para esses campos - para todas as recomendações - é 2021-03-14T00:00:00+0000000Z.
Para acessar essas informações, você pode usar qualquer um dos métodos na tabela abaixo.
| Tool | Details |
|---|---|
| Chamada à API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Continuous export | Os dois campos dedicados estarão disponíveis os dados do espaço de trabalho do Log Analytics |
| CSV export | Os dois campos estão incluídos nos ficheiros CSV |
Saiba mais sobre a API REST de avaliações.
O inventário de ativos obtém um filtro de ambiente de nuvem
A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Um novo filtro oferece a opção de refinar a lista de acordo com as contas na nuvem que você conectou com o recurso multicloud da Central de Segurança.
Saiba mais sobre os recursos multicloud:
- Conecte suas contas da AWS à Central de Segurança do Azure
- Conectar seus projetos do GCP à Central de Segurança do Azure
April 2021
As atualizações em abril incluem:
- Página de integridade do recurso atualizada (na visualização)
- As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
- Usar o Azure Defender for Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização)
- A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows lançada para disponibilidade geral (GA)
- Recomendações para habilitar o Azure Defender para DNS e o Gerenciador de Recursos (em visualização)
- Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e Nova Zelândia ISM Restricted
- Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
- As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
- Onze alertas do Azure Defender preteridos
- Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
- Bloco do Azure Defender for SQL na máquina removido do painel do Azure Defender
- As recomendações foram transferidas entre os controlos de segurança
Página de integridade do recurso atualizada (na visualização)
A integridade do recurso foi expandida, aprimorada e aprimorada para fornecer uma visão instantânea da integridade geral de um único recurso.
Você pode revisar informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançada do Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.
Para abrir a página de integridade de um recurso, selecione qualquer recurso na página de inventário de ativos.
Esta página de pré-visualização nas páginas do portal do Centro de Segurança mostra:
- Resource information - The resource group and subscription it's attached to, the geographic location, and more.
- Recurso de segurança aplicado - Se o Azure Defender está habilitado para o recurso.
- Contagens de recomendações e alertas pendentes - O número de recomendações de segurança pendentes e alertas do Azure Defender.
- Recomendações e alertas acionáveis - Duas guias listam as recomendações e alertas que se aplicam ao recurso.
Saiba mais em Tutorial: Investigue a integridade dos seus recursos.
As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidades interno. Este scanner verifica imediatamente qualquer imagem que você enviar para o seu registro e qualquer imagem puxada nos últimos 30 dias.
Novas vulnerabilidades são descobertas todos os dias. With this update, container images that were pulled from your registries during the last 30 days will be rescanned every week. Isso garante que vulnerabilidades recém-descobertas sejam identificadas em suas imagens.
A digitalização é cobrada por imagem, portanto, não há cobrança adicional para essas novas varreduras.
Saiba mais sobre este mecanismo de varredura em Usar o Azure Defender para registros de contêiner para verificar suas imagens em busca de vulnerabilidades.
Usar o Azure Defender for Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização)
O Azure Defender for Kubernetes está expandindo seus recursos de proteção contra ameaças para defender seus clusters onde quer que eles sejam implantados. Isso foi habilitado pela integração com o Kubernetes habilitado para Azure Arc e seus novos recursos de extensões.
Quando você habilita o Azure Arc em seus clusters Kubernetes que não são do Azure, uma nova recomendação da Central de Segurança do Azure oferece implantar o agente do Azure Defender neles com apenas alguns cliques.
Use a recomendação (clusters Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger clusters Kubernetes implantados em outros provedores de nuvem, embora não em seus serviços Kubernetes gerenciados.
Essa integração entre a Central de Segurança do Azure, o Azure Defender e o Kubernetes habilitado para Azure Arc traz:
- Provisionamento fácil do agente do Azure Defender para clusters Kubernetes habilitados para Azure Arc desprotegidos (manualmente e em escala)
- Monitoramento do agente do Azure Defender e seu estado de provisionamento a partir do Portal do Arco do Azure
- As recomendações de segurança da Central de Segurança são relatadas na nova página Segurança do Portal do Arco do Azure
- As ameaças de segurança identificadas pelo Azure Defender são relatadas na nova página Segurança do Portal do Arco do Azure
- Os clusters Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência da Central de Segurança do Azure
Saiba mais em Usar o Azure Defender para Kubernetes com seus clusters Kubernetes locais e multicloud.
A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows lançada para disponibilidade geral (GA)
O Microsoft Defender para Endpoint é uma solução de segurança de ponto final holística e entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para obter uma lista completa dos benefícios de usar o Defender for Endpoint junto com a Central de Segurança do Azure, consulte Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Quando você habilita o Azure Defender for Servers executando o Windows Server, uma licença para o Defender for Endpoint é incluída no plano. Se você já habilitou o Azure Defender for Servers e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender for Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir o Windows Server 2019 e o Windows 10 no Ambiente de Trabalho Virtual do Windows.
Note
Se você estiver habilitando o Defender for Endpoint em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender for Endpoint.
Recomendações para habilitar o Azure Defender para DNS e o Gerenciador de Recursos (em visualização)
Duas novas recomendações foram adicionadas para simplificar o processo de habilitação do Azure Defender for Resource Manager e do Azure Defender for DNS:
- O Azure Defender for Resource Manager deve ser habilitado - o Defender for Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas.
- O Azure Defender for DNS deve ser habilitado - o Defender for DNS fornece uma camada adicional de proteção para seus recursos de nuvem monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Azure Defender alerta você sobre atividades suspeitas na camada DNS.
Habilitar os planos do Azure Defender resulta em cobranças. Learn about the pricing details per region on Security Center's pricing page.
Tip
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e Nova Zelândia ISM Restricted
Adicionámos três padrões para utilização com o Centro de Segurança do Azure. Usando o painel de conformidade regulamentar, agora você pode acompanhar sua conformidade com:
Você pode atribuí-los às suas assinaturas conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Saiba mais em:
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
- Tutorial: Melhore sua conformidade regulatória
- FAQ – Dashboard de conformidade regulamentar
Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
A extensão Configuração de Convidado do Azure informa a Central de Segurança para ajudar a garantir que as configurações de convidado de suas máquinas virtuais sejam reforçadas. A extensão não é necessária para servidores preparados para o Arc porque está incluída no agente do Computador Ligado ao Arc. A extensão requer uma identidade gerenciada pelo sistema na máquina.
Adicionámos quatro novas recomendações ao Centro de Segurança para tirar o máximo partido desta extensão.
Duas recomendações solicitam que você instale a extensão e sua identidade gerenciada pelo sistema necessária:
- A extensão Configuração do Convidado deve ser instalada em suas máquinas
- A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema
Quando a extensão estiver instalada e em execução, ela começará a auditar suas máquinas e você será solicitado a fortalecer as configurações, como a configuração do sistema operacional e as configurações do ambiente. Estas duas recomendações solicitarão que você proteja suas máquinas Windows e Linux conforme descrito:
- O Windows Defender Exploit Guard deve ser ativado nas suas máquinas
- A autenticação em máquinas Linux deve exigir chaves SSH
Saiba mais em Compreender a Configuração de Convidado da Política do Azure.
As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
O programa de segurança de cada organização inclui requisitos de criptografia de dados. Por padrão, os dados dos clientes do Azure são criptografados em repouso com chaves gerenciadas pelo serviço. No entanto, as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem criptografar seus dados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Isso lhe dá total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Os controles de segurança da Central de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Cada controle tem um número máximo de pontos que você pode adicionar à sua pontuação segura se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança Implementar práticas recomendadas de segurança vale zero pontos. Portanto, as recomendações nesse controle não afetam sua pontuação segura.
As recomendações listadas abaixo estão sendo movidas para o controle de segurança Implementar práticas recomendadas de segurança para refletir melhor sua natureza opcional. Este movimento garante que essas recomendações estejam no controle mais adequado para atingir seu objetivo.
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As contas de serviços de IA do Azure devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente (CMK)
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
11 Alertas do Azure Defender preteridos
Os onze alertas do Azure Defender listados abaixo foram preteridos.
Novos alertas substituirão estes dois alertas e proporcionarão uma melhor cobertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - A função "Get-AzureDomainInfo" do kit de ferramentas MicroBurst é executada detetada ARM_MicroBurstRunbook PREVIEW - A função "Get-AzurePasswords" do kit de ferramentas MicroBurst é executada detetada Estes nove alertas estão relacionados com um conector de Proteção de Identidade (IPC) do Azure Ative Directory que já foi preterido:
AlertType AlertDisplayName UnfamiliarLocation Propriedades de inícios de sessão desconhecidos AnonymousLogin Endereço IP anónimo InfectedDeviceLogin Endereço IP associado a malware ImpossibleTravel viagem atípica MaliciousIP Endereço IP malicioso LeakedCredentials fuga de credenciais PasswordSpray Password Spray LeakedCredentials informações de ameaças do Azure AD AADAI IA do Azure AD Tip
Esses nove alertas IPC nunca foram alertas da Central de Segurança. Eles fazem parte do conector de Proteção de Identidade (IPC) do Ative Directory do Azure que os enviava para a Central de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O Azure Ative Directory IPC continuou a mostrá-los em seus próprios sistemas de alertas e eles continuaram disponíveis no Microsoft Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.
Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
As duas recomendações a seguir foram preteridas e as alterações podem resultar em um pequeno impacto na sua pontuação segura:
- Suas máquinas devem ser reiniciadas para aplicar atualizações do sistema
- O agente de monitoramento deve ser instalado em suas máquinas. Esta recomendação refere-se apenas a máquinas locais e parte da sua lógica será transferida para outra recomendação, os problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas
Recomendamos verificar suas configurações de exportação contínua e automação do fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, quaisquer painéis ou outras ferramentas de monitoramento que possam estar usando-os devem ser atualizados de acordo.
Bloco do Azure Defender for SQL na máquina removido do painel do Azure Defender
A área de cobertura do painel do Azure Defender inclui blocos para os planos relevantes do Azure Defender para seu ambiente. Devido a um problema com o relatório do número de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos do Azure Defender for SQL em máquinas até que o problema seja resolvido.
Recomendações movidas entre controlos de segurança
As recomendações a seguir foram movidas para diferentes controles de segurança. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Este movimento garante que cada uma dessas recomendações esteja no controle mais adequado para atingir seu objetivo.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
| Recommendation | Mudança e impacto |
|---|---|
| A avaliação de vulnerabilidades deve estar ativada nos seus servidores SQL A avaliação de vulnerabilidades deve ser habilitada em suas instâncias gerenciadas pelo SQL As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas novas As vulnerabilidades em seus bancos de dados SQL em VMs devem ser corrigidas |
Passar de Corrigir vulnerabilidades (vale seis pontos) para remediar configurações de segurança (valendo quatro pontos). Dependendo do seu ambiente, essas recomendações terão um impacto reduzido na sua pontuação. |
| Deve haver mais do que um proprietário atribuído à sua subscrição As variáveis de conta de automação devem ser criptografadas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - Falha na validação da linha de base do sistema operacional Dispositivos IoT - Atualização do pacote de codificação TLS necessária Dispositivos IoT - Portas abertas no dispositivo Dispositivos IoT - Política de firewall permissiva em uma das cadeias foi encontrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de entrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de saída Os registos de diagnóstico no Hub IoT devem estar ativados Dispositivos IoT - Agente enviando mensagens subutilizadas Dispositivos IoT - Política de Filtro IP Padrão deve ser Negar Dispositivos IoT - Regra de filtro IP de grande intervalo de IP Dispositivos IoT - Os intervalos e o tamanho das mensagens do agente devem ser ajustados Dispositivos IoT - Credenciais de autenticação idênticas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - A configuração de linha de base do sistema operacional (SO) deve ser corrigida |
Movendo-se para Implementar práticas recomendadas de segurança. Quando uma recomendação passa para o controle de segurança Implementar práticas recomendadas de segurança, que não vale pontos, a recomendação não afeta mais sua pontuação segura. |
March 2021
As atualizações em março incluem:
- Gerenciamento do Firewall do Azure integrado à Central de Segurança
- A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
- Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
- O painel de conformidade regulatória agora inclui relatórios de auditoria do Azure (visualização)
- Os dados de recomendação podem ser visualizados no Azure Resource Graph com "Explorar no ARG"
- Atualizações das políticas de implantação da automação do fluxo de trabalho
- Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
- Aprimoramentos da página de recomendações
Gerenciamento do Firewall do Azure integrado à Central de Segurança
Quando você abre a Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.
Este painel interativo fornece uma visão unificada da postura de segurança de suas cargas de trabalho de nuvem híbrida. Além disso, mostra alertas de segurança, informações de cobertura e muito mais.
Como parte de ajudá-lo a exibir seu status de segurança a partir de uma experiência central, integramos o Gerenciador de Firewall do Azure neste painel. Agora você pode verificar o status da cobertura do Firewall em todas as redes e gerenciar centralmente as políticas do Firewall do Azure a partir da Central de Segurança.
Saiba mais sobre esse painel na página de visão geral da Central de Segurança do Azure.
A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
A Central de Segurança inclui um verificador de vulnerabilidades integrado para ajudá-lo a descobrir, rastrear e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança das máquinas SQL e detalhes de quaisquer descobertas de segurança.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba mais em Desativar descobertas específicas.
Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
Como parte do Ignite Spring 2021, anunciamos uma experiência integrada de Pastas de Trabalho do Azure Monitor na Central de Segurança.
Você pode usar a nova integração para começar a usar os modelos prontos para uso na galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, você pode criar novas pastas de trabalho com base nos dados da Central de Segurança ou em quaisquer outros tipos de dados suportados e implantar rapidamente pastas de trabalho da comunidade a partir da comunidade GitHub da Central de Segurança.
São fornecidos três modelos de relatórios:
- Pontuação segura ao longo do tempo - Acompanhe as pontuações das suas subscrições e as alterações às recomendações para os seus recursos
- System Updates - View missing system updates by resources, OS, severity, and more
- Descobertas de avaliação de vulnerabilidade - Exibir as descobertas de verificações de vulnerabilidade de seus recursos do Azure
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
O painel de conformidade regulatória agora inclui relatórios de auditoria do Azure (visualização)
Na barra de ferramentas do painel de conformidade regulamentar, agora você pode baixar relatórios de certificação do Azure e do Dynamics.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Saiba mais sobre como gerenciar os padrões em seu painel de conformidade regulamentar.
Os dados de recomendação podem ser visualizados no Azure Resource Graph com "Explorar no ARG"
As páginas de detalhes da recomendação agora incluem o botão da barra de ferramentas "Explorar no ARG". Use este botão para abrir uma consulta do Gráfico de Recursos do Azure e explorar, exportar e compartilhar os dados da recomendação.
O Azure Resource Graph (ARG) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.
Saiba mais sobre o Azure Resource Graph.
Atualizações das políticas de implantação da automação do fluxo de trabalho
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
Fornecemos três políticas 'DeployIfNotExist' da Política do Azure que criam e configuram procedimentos de automação de fluxo de trabalho para que você possa implantar suas automações em toda a organização:
| Goal | Policy | Policy ID |
|---|---|---|
| Automação do fluxo de trabalho para alertas de segurança | Implementar a Automatização do Fluxo de Trabalho para os alertas do Centro de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Implementar a Automatização do Fluxo de Trabalho para as recomendações do Centro de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automação do fluxo de trabalho para alterações de conformidade regulatória | Implantar a Automação do Fluxo de Trabalho para conformidade regulatória da Central de Segurança do Azure | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Há duas atualizações para os recursos dessas políticas:
- Quando atribuídos, eles permanecerão habilitados pela execução.
- Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros, mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.
Comece a usar modelos de automação de fluxo de trabalho.
Saiba mais sobre como Automatizar respostas a gatilhos da Central de Segurança.
Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
A Central de Segurança passa os dados de quase todas as recomendações de segurança para o Consultor do Azure, que, por sua vez, os grava no log de atividades do Azure.
Para duas recomendações, os dados são gravados simultaneamente diretamente no log de atividades do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, estamos exportando os dados para o Azure Advisor como fazemos para todas as outras recomendações.
As duas recomendações legadas são:
- Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas
- As vulnerabilidades na configuração de segurança nas máquinas virtuais devem ser remediadas
Se você estiver acessando informações para essas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, elas não estarão mais disponíveis.
Aprimoramentos da página de recomendações
Lançamos uma versão melhorada da lista de recomendações para apresentar mais informações rapidamente.
Agora na página você verá:
- A pontuação máxima e a pontuação atual para cada controle de segurança.
- Icons replacing tags such as Fix and Preview.
- A new column showing the Policy initiative related to each recommendation - visible when "Group by controls" is disabled.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
February 2021
As atualizações em fevereiro incluem:
- Nova página de alertas de segurança no portal do Azure lançada para disponibilidade geral (GA)
- Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
- A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (em visualização)
- Link direto para a política na página de detalhes da recomendação
- A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
- Aprimoramentos da página de inventário de ativos
Nova página de alertas de segurança no portal do Azure lançada para disponibilidade geral (GA)
A página de alertas de segurança da Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento.
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK.
- Botão para criar alertas de exemplo - para avaliar os recursos do Azure Defender e testar seus alertas. (para integração SIEM, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos do Azure Defender.
- Alinhamento com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro.
- Better performance for large alerts lists.
- Keyboard navigation through the alert list.
- Alertas do Azure Resource Graph - você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre o Azure Resource Graph.
- Criar recurso de alertas de exemplo - Para criar alertas de exemplo a partir da nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.
Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
Temos o prazer de anunciar a disponibilidade geral (GA) do conjunto de recomendações para proteções de carga de trabalho do Kubernetes.
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando a Política do Azure para Kubernetes é instalada no cluster do Serviço Kubernetes do Azure (AKS), cada solicitação para o servidor de API do Kubernetes será monitorada em relação ao conjunto predefinido de práticas recomendadas - exibidas como 13 recomendações de segurança - antes de ser persistida no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Note
Embora as recomendações estivessem em visualização, elas não tornaram um recurso de cluster AKS não íntegro e não foram incluídas nos cálculos da sua pontuação segura. Com este anúncio da AG, estes serão incluídos no cálculo da pontuação. Se você ainda não os corrigiu, isso pode resultar em um pequeno impacto em sua pontuação segura. Corrija-os sempre que possível, conforme descrito em Corrigir recomendações na Central de Segurança do Azure.
A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (em visualização)
O Microsoft Defender para Endpoint é uma solução de segurança de ponto final holística e entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para obter uma lista completa dos benefícios de usar o Defender for Endpoint junto com a Central de Segurança do Azure, consulte Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Quando você habilita o Azure Defender for Servers executando o Windows Server, uma licença para o Defender for Endpoint é incluída no plano. Se você já habilitou o Azure Defender for Servers e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender for Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir o Windows Server 2019 e o Windows 10 no Ambiente de Trabalho Virtual do Windows.
Note
Se você estiver habilitando o Defender for Endpoint em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender for Endpoint.
Link direto para a política na página de detalhes da recomendação
Quando você está revisando os detalhes de uma recomendação, geralmente é útil poder ver a política subjacente. Para cada recomendação apoiada por uma política, há um novo link na página de detalhes da recomendação:
Use este link para visualizar a definição da política e rever a lógica de avaliação.
A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
A recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados não afeta mais sua pontuação segura. A classificação de dados de controle de segurança Aplicar que o contém agora tem um valor de pontuação segura de 0.
Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Aprimoramentos da página de inventário de ativos
A página de inventário de ativos do Centro de Segurança foi melhorada:
Summaries at the top of the page now include Unregistered subscriptions, showing the number of subscriptions without Security Center enabled.
Os filtros foram expandidos e melhorados para incluir:
Counts - Each filter presents the number of resources that meet the criteria of each category
Contém filtro de isenções (Opcional) - restrinja os resultados aos recursos que têm/não têm isenções. This filter isn't shown by default, but is accessible from the Add filter button.
Saiba mais sobre como explorar e gerenciar seus recursos com o inventário de ativos.
January 2021
As atualizações em janeiro incluem:
- A Referência de Segurança do Azure é, agora, a iniciativa de política predefinida do Centro de Segurança do Azure
- A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
- A classificação de segurança para grupos de gestão já está disponível em pré-visualização
- A API de pontuação segura é liberada para disponibilidade geral (GA)
- Proteções de DNS pendente adicionadas ao Azure Defender para Serviço de Aplicações
- Conectores multicloud são liberados para disponibilidade geral (GA)
- Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
- Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
- 35 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
- Exportação CSV da lista de recomendações filtrada
- Os recursos "não aplicáveis" são, agora, comunicados como "Conformes" nas avaliações do Azure Policy
- Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
A Referência de Segurança do Azure é, agora, a iniciativa de política predefinida do Centro de Segurança do Azure
O Azure Security Benchmark é o conjunto de diretrizes específico do Azure criado pela Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
Nos últimos meses, a lista de recomendações de segurança incorporadas do Centro de Segurança cresceu significativamente para expandir a nossa cobertura desta referência.
A partir desta versão, o benchmark é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.
Todos os serviços do Azure têm uma página de linha de base de segurança em sua documentação. Essas linhas de base são criadas no Benchmark de Segurança do Azure.
Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do benchmark durante um período de transição:
As recomendações existentes não são afetadas e, à medida que o benchmark cresce, as alterações serão refletidas automaticamente na Central de Segurança.
Para saber mais, consulte as seguintes páginas:
- Saiba mais sobre o Azure Security Benchmark
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
Em outubro, anunciamos uma prévia para a verificação de servidores habilitados para Azure Arc com o scanner de avaliação de vulnerabilidades integrado do Azure Defender for Servers (desenvolvido pela Qualys).
Agora está liberado para disponibilidade geral (GA).
Quando você habilitar o Azure Arc em suas máquinas que não sejam do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado nelas - manualmente e em escala.
Com esta atualização, você pode liberar o poder do Azure Defender for Servers para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos do Azure e não do Azure.
Main capabilities:
- Monitorando o estado de provisionamento do scanner VA (avaliação de vulnerabilidade) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc desprotegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e máquinas Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
A classificação de segurança para grupos de gestão já está disponível em pré-visualização
A página de pontuação segura agora mostra as pontuações seguras agregadas para seus grupos de gerenciamento, além do nível de assinatura. Portanto, agora você pode ver a lista de grupos de gerenciamento em sua organização e a pontuação para cada grupo de gerenciamento.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
A API de pontuação segura é liberada para disponibilidade geral (GA)
Agora você pode acessar sua pontuação por meio da API de pontuação segura. Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. For example:
- use the Secure Scores API to get the score for a specific subscription
- use a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas
Saiba mais sobre as ferramentas externas possibilitadas com a API de pontuação segura na área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
Proteções de DNS pendente adicionadas ao Azure Defender para Serviço de Aplicações
As aquisições de subdomínios são uma ameaça comum e de alta gravidade para as organizações. Uma aquisição de subdomínio pode ocorrer quando você tem um registro DNS que aponta para um site desprovisionado. Esses registos DNS também são conhecidos como entradas "DNS pendentes". Os registos CNAME são especialmente vulneráveis a esta ameaça.
As aquisições de subdomínios permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
O Azure Defender for App Service agora deteta entradas DNS pendentes quando um site do Serviço de Aplicativo é desativado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe, e seu site está vulnerável a uma aquisição de subdomínio. Essas proteções estão disponíveis independentemente de seus domínios serem gerenciados com o DNS do Azure ou um registrador de domínios externo e se aplicam ao Serviço de Aplicativo no Windows e ao Serviço de Aplicativo no Linux.
Learn more:
- Tabela de referência de alertas do Serviço de Aplicativo - Inclui dois novos alertas do Azure Defender que são acionados quando uma entrada DNS pendente é detetada
- Evite entradas DNS pendentes e evite a tomada de controle de subdomínio - Saiba mais sobre a ameaça de invasão de subdomínio e o aspeto DNS pendente
- Introdução ao Azure Defender for App Service
Conectores multicloud são liberados para disponibilidade geral (GA)
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
A Central de Segurança do Azure protege cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Conectar seus projetos da AWS ou GCP integra suas ferramentas de segurança nativas, como o AWS Security Hub e o GCP Security Command Center, à Central de Segurança do Azure.
Esse recurso significa que a Central de Segurança oferece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios desta integração:
- Provisionamento automático de agentes - a Central de Segurança usa o Azure Arc para implantar o agente do Log Analytics em suas instâncias da AWS
- Policy management
- Vulnerability management
- EDR (Endpoint Detection and Response) incorporado
- Deteção de erros de configuração de segurança
- Uma vista única que mostra as recomendações de segurança de todos os fornecedores de serviços em nuvem
- Incorpore todos os seus recursos nos cálculos de pontuação segura do Centro de Segurança
- Avaliações de conformidade regulatória de seus recursos da AWS e do GCP
From Defender for Cloud's menu, select Multicloud connectors and you'll see the options for creating new connectors:
Saiba mais em:
- Conecte suas contas da AWS à Central de Segurança do Azure
- Conectar seus projetos do GCP à Central de Segurança do Azure
Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
Estamos expandindo a capacidade de isenção para incluir recomendações inteiras. Fornecer mais opções para ajustar as recomendações de segurança que o Centro de Segurança faz para as suas subscrições, grupo de gestão ou recursos.
Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que a Central de Segurança não detetou. Ou uma recomendação será exibida em um escopo onde você sente que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados com o recurso ou recomendação específica.
Com esse recurso de visualização, agora você pode criar uma isenção para uma recomendação para:
Isente um recurso para garantir que ele não seja listado com os recursos não íntegros no futuro e não afete sua pontuação segura. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma subscrição ou um grupo de gestão para garantir que a recomendação não afeta a sua pontuação segura e não será apresentada para a subscrição ou grupo de gestão no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você crie no futuro. A recomendação será marcada com a justificação específica que selecionar para o âmbito selecionado.
Saiba mais em Isentar recursos e recomendações da sua pontuação segura.
Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
Se um usuário não tiver permissões para ver os dados da Central de Segurança, ele verá um link para solicitar permissões ao administrador global de sua organização. O pedido inclui o papel que eles gostariam e a justificativa para que ele seja necessário.
Saiba mais em Solicitar permissões para todo o locatário quando as suas forem insuficientes.
35 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é a iniciativa de política padrão na Central de Segurança do Azure.
Para aumentar a cobertura deste benchmark, as 35 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança.
Tip
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
| Security control | New recommendations |
|---|---|
| Habilite a criptografia em repouso | - As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK) - Traga sua própria chave de proteção de dados deve ser habilitado para servidores MySQL - Traga sua própria chave de proteção de dados deve ser habilitado para servidores PostgreSQL - As contas de serviços de IA do Azure devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente (CMK) - Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente (CMK) - As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia |
| Implementação de melhores práticas de segurança | - As subscrições devem ter um endereço de e-mail de contacto para questões de segurança - O provisionamento automático do agente do Log Analytics deve ser ativado na sua assinatura - A notificação por e-mail para alertas de alta gravidade deve ser ativada - A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser ativada - Os cofres de chaves devem ter a proteção contra purga ativada - Os cofres de chaves devem ter a exclusão suave ativada |
| Gerenciar acesso e permissões | - Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' ativado |
| Proteja os aplicativos contra ataques DDoS | - Web Application Firewall (WAF) deve ser ativado para Application Gateway - O Web Application Firewall (WAF) deve ser habilitado para o serviço Azure Front Door Service |
| Restringir o acesso não autorizado à rede | - O firewall deve ser ativado no Cofre da Chave - Ponto de extremidade privado deve ser configurado para o Cofre da Chave - Configuração do aplicativo deve usar link privado - O Cache Redis do Azure deve residir em uma rede virtual - Os domínios da Grade de Eventos do Azure devem usar link privado - Os tópicos da Grade de Eventos do Azure devem usar link privado - Os espaços de trabalho do Azure Machine Learning devem usar link privado - O Serviço Azure SignalR deve usar link privado - Azure Spring Cloud deve usar injeção de rede - Os registos de contentores não devem permitir o acesso irrestrito à rede - Os registos de contentores devem utilizar ligação privada - O acesso à rede pública deve ser desativado para servidores MariaDB - O acesso à rede pública deve ser desativado para servidores MySQL - O acesso à rede pública deve ser desativado para servidores PostgreSQL - Conta de armazenamento deve usar uma conexão de link privado - Contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual - Os modelos do VM Image Builder devem usar link privado |
Related links:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre o Azure Database for MariaDB
- Saiba mais sobre a Base de Dados do Azure para MySQL
- Saiba mais sobre a Base de Dados do Azure para PostgreSQL
Exportação CSV da lista de recomendações filtrada
Em novembro de 2020, adicionámos filtros à página de recomendações.
Com este anúncio, estamos mudando o comportamento do botão Baixar para CSV para que a exportação CSV inclua apenas as recomendações exibidas atualmente na lista filtrada.
Por exemplo, na imagem abaixo você pode ver que a lista é filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
Os recursos "não aplicáveis" são, agora, comunicados como "Conformes" nas avaliações do Azure Policy
Previously, resources that were evaluated for a recommendation and found to be not applicable appeared in Azure Policy as "Non-compliant". Nenhuma ação do usuário poderia alterar seu estado para "Conforme". Com essa alteração, eles são relatados como "Compatíveis" para maior clareza.
O único impacto será visto na Política do Azure, onde o número de recursos compatíveis aumentará. Não haverá impacto na sua pontuação segura na Central de Segurança do Azure.
Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
We've added a new preview feature to the continuous export tools for exporting weekly snapshots of secure score and regulatory compliance data.
Ao definir uma exportação contínua, defina a frequência de exportação:
- Streaming – assessments will be sent when a resource's health state is updated (if no updates occur, no data will be sent).
- Snapshots – a snapshot of the current state of all regulatory compliance assessments will be sent every week (this is a preview feature for weekly snapshots of secure scores and regulatory compliance data).
Saiba mais sobre todos os recursos desse recurso em Exportar dados da Central de Segurança continuamente.
December 2020
As atualizações em dezembro incluem:
- O Azure Defender para servidores SQL em máquinas está disponível em geral
- O suporte do Azure Defender for SQL para o pool SQL dedicado do Azure Synapse Analytics está disponível em geral
- Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
- Dois novos planos do Azure Defender: Azure Defender for DNS e Azure Defender for Resource Manager (em visualização)
- Nova página de alertas de segurança no portal do Azure (pré-visualização)
- Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure & Instância Gerenciada SQL
- Ferramentas e filtros de inventário de ativos atualizados
- Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
- A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
- A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
O Azure Defender para servidores SQL em máquinas está disponível em geral
A Central de Segurança do Azure oferece dois planos do Azure Defender para SQL Servers:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos do Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e locais
Com este anúncio, o Azure Defender for SQL agora protege seus bancos de dados e seus dados onde quer que estejam localizados.
O Azure Defender for SQL inclui recursos de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidades inclui os seguintes recursos avançados:
- Baseline configuration (New!) to intelligently refine the results of vulnerability scans to those that might represent real security issues. Depois de estabelecer o estado de segurança da linha de base, a ferramenta de avaliação de vulnerabilidades reporta apenas desvios desse estado da linha de base. Os resultados que correspondem à linha de base são considerados como passando nas verificações subsequentes. Isso permite que você e seus analistas concentrem sua atenção onde ela é importante.
- Informações detalhadas de benchmark para ajudá-lo a entender as descobertas descobertas e por que elas se relacionam com seus recursos.
- Remediation scripts to help you mitigate identified risks.
Saiba mais sobre o Azure Defender for SQL.
O suporte do Azure Defender for SQL para o pool SQL dedicado do Azure Synapse Analytics está disponível em geral
O Azure Synapse Analytics (anteriormente SQL DW) é um serviço de análise que combina armazenamento de dados corporativos e análise de big data. Pools SQL dedicados são os recursos de armazenamento de dados corporativos do Azure Synapse. Saiba mais em O que é o Azure Synapse Analytics (anteriormente SQL DW)?.
O Azure Defender for SQL protege seus pools SQL dedicados com:
- Proteção avançada contra ameaças para detetar ameaças e ataques
- Recursos de avaliação de vulnerabilidades para identificar e corrigir configurações incorretas de segurança
O suporte do Azure Defender for SQL para pools SQL do Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure na Central de Segurança do Azure. Há uma nova guia do Azure Defender for SQL na página do espaço de trabalho Synapse no portal do Azure.
Saiba mais sobre o Azure Defender for SQL.
Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
A user with the Azure Active Directory role of Global Administrator might have tenant-wide responsibilities, but lack the Azure permissions to view that organization-wide information in Azure Security Center.
Para atribuir a si mesmo permissões de nível de locatário, siga as instruções em Conceder permissões para todo o locatário a si mesmo.
Dois novos planos do Azure Defender: Azure Defender for DNS e Azure Defender for Resource Manager (em visualização)
Adicionámos duas novas capacidades de proteção contra ameaças nativas da nuvem para o seu ambiente do Azure.
Estas novas proteções melhoram significativamente a sua resiliência contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender for Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender for DNS - monitoriza continuamente todas as consultas DNS a partir dos seus recursos do Azure. Para obter mais informações, consulte:
Nova página de alertas de segurança no portal do Azure (pré-visualização)
A página de alertas de segurança da Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK
- Botão para criar alertas de exemplo - para avaliar os recursos do Azure Defender e testar sua configuração de alertas (para integração SIEM, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos do Azure Defender
- Alinhamento com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro
- Better performance for large alerts lists
- Keyboard navigation through the alert list
- Alertas do Azure Resource Graph - você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre o Azure Resource Graph.
Para acessar a nova experiência, use o link 'experimente agora' no banner na parte superior da página de alertas de segurança.
Para criar alertas de exemplo a partir da nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.
Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure & Instância Gerenciada SQL
A experiência da Central de Segurança no SQL fornece acesso aos seguintes recursos da Central de Segurança e do Azure Defender for SQL:
- Security recommendations – Security Center periodically analyzes the security state of all connected Azure resources to identify potential security misconfigurations. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
- Security alerts – a detection service that continuously monitors Azure SQL activities for threats such as SQL injection, brute-force attacks, and privilege abuse. Este serviço dispara alertas de segurança detalhados e orientados para a ação no Centro de Segurança e fornece opções para continuar as investigações com o Microsoft Sentinel, a solução SIEM nativa do Azure da Microsoft.
- Findings – a vulnerability assessment service that continuously monitors Azure SQL configurations and helps remediate vulnerabilities. As verificações de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure, juntamente com descobertas de segurança detalhadas.
Ferramentas e filtros de inventário de ativos atualizados
A página de inventário na Central de Segurança do Azure foi atualizada com as seguintes alterações:
Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.
Subscriptions filter added to the default filters available for your resources.
Open query link for opening the current filter options as an Azure Resource Graph query (formerly called "View in resource graph explorer").
Operator options for each filter. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira encontrar todos os recursos com recomendações ativas cujos títulos incluam a cadeia de caracteres 'criptografar'.
Saiba mais sobre inventário em Explore e gerencie seus recursos com inventário de ativos.
Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas" foi movida do controle de segurança Gerenciar acesso e permissões (no valor máximo de 4 pts) para Implementar práticas recomendadas de segurança (que não vale pontos).
Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, isso é irrelevante. Se você acessar seu site por HTTP e não HTTPS, não receberá nenhum certificado de cliente. Portanto, se seu aplicativo requer certificados de cliente, você não deve permitir solicitações para seu aplicativo por HTTP. Saiba mais em Configurar autenticação mútua TLS para o Serviço de Aplicativo do Azure.
Com esta alteração, a recomendação passa a ser uma boa prática recomendada que não afeta a sua pontuação.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
A Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e padrões relevantes para sua organização, setor e país/região.
À medida que a Central de Segurança continua a expandir sua cobertura e recursos, a lista de recomendações de segurança cresce a cada mês. Por exemplo, consulte Vinte e nove recomendações de visualização adicionadas para aumentar a cobertura do Benchmark de Segurança do Azure.
Com a lista crescente, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionámos filtros à página de recomendações (ver Lista de recomendações inclui agora filtros).
Os filtros adicionados este mês fornecem opções para refinar a lista de recomendações de acordo com:
Environment - View recommendations for your AWS, GCP, or Azure resources (or any combination)
Severity - View recommendations according to the severity classification set by Security Center
Response actions - View recommendations according to the availability of Security Center response options: Fix, Deny, and Enforce
Tip
O filtro de ações de resposta substitui o filtro Correção rápida disponível (Sim/Não ).
Saiba mais sobre cada uma destas opções de resposta:
A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
As ferramentas de exportação contínua da Central de Segurança do Azure permitem exportar as recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.
A exportação contínua permite personalizar totalmente o que será exportado e para onde irá. Para obter detalhes completos, consulte Exportar dados continuamente da Central de Segurança.
Estas ferramentas foram melhoradas e expandidas das seguintes formas:
Políticas de implantação da exportação contínua aprimoradas. As políticas atuais:
Verifique se a configuração está ativada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos de Política do Azure fornecidos na guia "Implantar em escala com a Política do Azure" em Configurar uma exportação contínua.
Suporte à exportação de descobertas de segurança. Ao usar os modelos de Política do Azure, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações que têm "sub" recomendações, como descobertas de scanners de avaliação de vulnerabilidade ou atualizações específicas do sistema para a recomendação "pai" "As atualizações do sistema devem ser instaladas em suas máquinas".
Suporte à exportação de dados de pontuação segura.
Dados de avaliação de conformidade regulatória adicionados (em visualização). Agora você pode exportar continuamente atualizações para avaliações de conformidade regulatória, inclusive para quaisquer iniciativas personalizadas, para um espaço de trabalho do Log Analytics ou Hubs de Eventos. Este recurso não está disponível em nuvens nacionais.
November 2020
As atualizações em novembro incluem:
- 29 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
- NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
- A lista de recomendações agora inclui filtros
- Experiência de provisionamento automático melhorada e expandida
- A pontuação segura está agora disponível em exportação contínua (pré-visualização)
- A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
- A página de gerenciamento de políticas no portal do Azure agora mostra o status das atribuições de política padrão
29 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é o conjunto de diretrizes criado pela Microsoft, específico do Azure, para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Saiba mais sobre a Referência de Segurança do Azure.
As 29 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança para aumentar a cobertura deste parâmetro de referência.
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
| Security control | New recommendations |
|---|---|
| Criptografar dados em trânsito | - Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL - Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de API - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de função - TLS deve ser atualizado para a versão mais recente para o seu aplicativo Web - FTPS deve ser necessário em seu aplicativo API - FTPS deve ser necessário em seu aplicativo função - FTPS deve ser necessário em seu aplicativo web |
| Gerenciar acesso e permissões | - Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas - A identidade gerenciada deve ser usada em seu aplicativo de API - Identidade gerenciada deve ser usada em seu aplicativo de função - A identidade gerenciada deve ser usada em seu aplicativo web |
| Restringir o acesso não autorizado à rede | - Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL - Ponto final privado deve ser habilitado para servidores MariaDB - Ponto final privado deve ser ativado para servidores MySQL |
| Habilitar auditoria e registro em log | - Os logs de diagnóstico nos Serviços de Aplicativo devem ser habilitados |
| Implementação de melhores práticas de segurança | - O Backup do Azure deve ser habilitado para máquinas virtuais - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL - PHP deve ser atualizado para a versão mais recente para o seu aplicativo API - PHP deve ser atualizado para a versão mais recente para o seu aplicativo web - Java deve ser atualizado para a versão mais recente para o seu aplicativo de API - Java deve ser atualizado para a versão mais recente para o seu aplicativo de função - Java deve ser atualizado para a versão mais recente para o seu aplicativo web - Python deve ser atualizado para a versão mais recente para o seu aplicativo de API - Python deve ser atualizado para a versão mais recente para o seu aplicativo de função - Python deve ser atualizado para a versão mais recente para o seu aplicativo web - A retenção de auditoria para servidores SQL deve ser definida para pelo menos 90 dias |
Related links:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre os aplicativos de API do Azure
- Saiba mais sobre os aplicativos de função do Azure
- Saiba mais sobre os aplicativos Web do Azure
- Saiba mais sobre o Azure Database for MariaDB
- Saiba mais sobre a Base de Dados do Azure para MySQL
- Saiba mais sobre a Base de Dados do Azure para PostgreSQL
NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
O padrão NIST SP 800-171 R2 agora está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de conformidade regulatória NIST SP 800-171 R2.
Para aplicar o padrão às suas assinaturas e monitorar continuamente seu status de conformidade, use as instruções em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-171 R2.
A lista de recomendações agora inclui filtros
Agora você pode filtrar a lista de recomendações de segurança de acordo com uma variedade de critérios. No exemplo a seguir, a lista de recomendações é filtrada para mostrar recomendações que:
- are generally available (that is, not preview)
- are for storage accounts
- support quick fix remediation
Experiência de provisionamento automático melhorada e expandida
O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs do Azure novas e existentes para que elas possam se beneficiar das proteções da Central de Segurança.
À medida que a Central de Segurança do Azure cresce, mais extensões foram desenvolvidas e a Central de Segurança pode monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático agora foram expandidas para dar suporte a outras extensões e tipos de recursos, aproveitando os recursos da Política do Azure.
Agora você pode configurar o provisionamento automático de:
- Agente do Log Analytics
- (Novo) Política do Azure para Kubernetes
- (Novo) Agente de dependência da Microsoft
Saiba mais em Agentes e extensões de provisionamento automático da Central de Segurança do Azure.
A pontuação segura está agora disponível em exportação contínua (pré-visualização)
Com a exportação contínua de pontuação segura, você pode transmitir as alterações à sua pontuação em tempo real para os Hubs de Eventos do Azure ou para um espaço de trabalho do Log Analytics. Utilize esta capacidade para:
- Acompanhe sua pontuação segura ao longo do tempo com relatórios dinâmicos
- exportar dados de pontuação segura para o Microsoft Sentinel (ou qualquer outro SIEM)
- Integre esses dados com quaisquer processos que você já esteja usando para monitorar a pontuação segura em sua organização
Saiba mais sobre como exportar continuamente dados da Central de Segurança.
A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
As atualizações do sistema devem ser instaladas em suas máquinas recomendação foi aprimorada. A nova versão inclui subrecomendações para cada atualização ausente e traz as seguintes melhorias:
Uma experiência redesenhada nas páginas da Central de Segurança do Azure do portal do Azure. A página de detalhes de recomendação para atualizações do sistema deve ser instalada em suas máquinas inclui a lista de descobertas, conforme mostrado abaixo. Quando você seleciona uma única localização, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.
Dados enriquecidos para a recomendação do Azure Resource Graph (ARG). O ARG é um serviço do Azure projetado para fornecer exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas para que possa controlar seu ambiente com eficiência.
Para a Central de Segurança do Azure, você pode usar o ARG e a KQL (Kusto Query Language) para consultar uma ampla variedade de dados de postura de segurança.
Anteriormente, se você consultou essa recomendação no ARG, a única informação disponível era que a recomendação precisa ser remediada em uma máquina. A consulta a seguir da versão aprimorada retornará todas as atualizações do sistema ausentes agrupadas por máquina.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
A página de gerenciamento de políticas no portal do Azure agora mostra o status das atribuições de política padrão
You can now see whether or not your subscriptions have the default Security Center policy assigned, in the Security Center's security policy page of the Azure portal.
October 2020
As atualizações em outubro incluem:
- Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
- Recomendação do Firewall do Azure adicionada (visualização)
- Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
- Painel de conformidade regulatória agora inclui opção para remover padrões
- Tabela Microsoft.Security/securityStatuses removida do Azure Resource Graph
Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
O scanner de avaliação de vulnerabilidades integrado do Azure Defender for Servers (desenvolvido pela Qualys) agora verifica os servidores habilitados para Azure Arc.
Quando você habilitar o Azure Arc em suas máquinas que não sejam do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado nelas - manualmente e em escala.
Com esta atualização, você pode liberar o poder do Azure Defender for Servers para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos do Azure e não do Azure.
Main capabilities:
- Monitorando o estado de provisionamento do scanner VA (avaliação de vulnerabilidade) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc desprotegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e máquinas Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
Recomendação do Firewall do Azure adicionada (visualização)
Foi adicionada uma nova recomendação para proteger todas as suas redes virtuais com a Firewall do Azure.
A recomendação, As redes virtuais devem ser protegidas pelo Firewall do Azure aconselha você a restringir o acesso às suas redes virtuais e prevenir ameaças potenciais usando o Firewall do Azure.
Learn more about Azure Firewall.
Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
A recomendação Intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes agora tem uma opção de correção rápida.
Painel de conformidade regulatória agora inclui opção para remover padrões
O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a controles e requisitos de conformidade específicos.
O painel inclui um conjunto padrão de normas regulamentares. Se algum dos padrões fornecidos não for relevante para sua organização, agora é um processo simples removê-los da interface do usuário para uma assinatura. Standards can be removed only at the subscription level; not the management group scope.
Saiba mais em Remover um padrão do seu painel.
Tabela Microsoft.Security/securityStatuses removida do Azure Resource Graph (ARG)
O Azure Resource Graph é um serviço no Azure projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala um determinado conjunto de assinaturas para que você possa governar efetivamente seu ambiente.
Para a Central de Segurança do Azure, você pode usar o ARG e a KQL (Kusto Query Language) para consultar uma ampla variedade de dados de postura de segurança. For example:
- O inventário de ativos utiliza ARG
- Documentamos uma consulta ARG de exemplo sobre como identificar contas sem autenticação multifator (MFA) habilitada
Dentro do ARG, existem tabelas de dados para você usar em suas consultas.
Tip
A documentação do ARG lista todas as tabelas disponíveis na tabela do Azure Resource Graph e na referência de tipo de recurso.
From this update, the Microsoft.Security/securityStatuses table was removed. A API securityStatuses ainda está disponível.
A substituição de dados pode ser usada pela tabela Microsoft.Security/Assessments.
A principal diferença entre Microsoft.Security/securityStatuses e Microsoft.Security/Assessments é que, enquanto a primeira mostra a agregação de avaliações, os segundos mantêm um único registro para cada uma.
Por exemplo, Microsoft.Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Considerando que Microsoft.Security/Assessments mantém um registro para cada avaliação de política da seguinte maneira:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemplo de conversão de uma consulta ARG existente usando securityStatuses para agora usar a tabela de avaliações:
Consulta que faz referência a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de substituição para a tabela Avaliações:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Saiba mais nos seguintes links:
September 2020
As atualizações em setembro incluem:
- A Central de Segurança ganha um novo visual!
- Azure Defender lançado
- O Azure Defender for Key Vault está disponível para o público em geral
- A proteção do Azure Defender for Storage para Arquivos e ADLS Gen2 está disponível em geral
- As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
- Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
- Isentar um recurso de uma recomendação
- Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
- Pacote de recomendação de proteção de carga de trabalho do Kubernetes
- Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
- Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
- Recomendações de grupos de segurança de rede melhoradas
- Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
- Notificações por email da Central de Segurança do Azure aprimoradas
- A pontuação segura não inclui recomendações de visualização
- As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
Centro de Segurança ganha um novo visual
Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para pontuação segura, inventário de ativos e Azure Defender.
A página de visão geral redesenhada agora tem um bloco para acessar a pontuação segura, o inventário de ativos e os painéis do Azure Defender. Ele também tem um link de bloco para o painel de conformidade regulamentar.
Learn more about the overview page.
Azure Defender lançado
Azure Defender is the cloud workload protection platform (CWPP) integrated within Security Center for advanced, intelligent, protection of your Azure and hybrid workloads. Ele substitui a opção de camada de preço padrão da Central de Segurança.
Quando você habilita o Azure Defender na área Preços e configurações da Central de Segurança do Azure, os seguintes planos do Defender são habilitados simultaneamente e fornecem defesas abrangentes para as camadas de computação, dados e serviço do seu ambiente:
- Azure Defender para Servidores
- Azure Defender para Serviço de Aplicativo
- Azure Defender para Armazenamento
- Azure Defender para SQL
- Azure Defender for Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registros de contêiner
Cada um desses planos é explicado separadamente na documentação da Central de Segurança.
Com seu painel dedicado, o Azure Defender fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede e muito mais.
Saiba mais sobre o Azure Defender
O Azure Defender for Key Vault está disponível para o público em geral
O Azure Key Vault é um serviço de nuvem que protege chaves de criptografia e segredos como certificados, cadeias de conexão e senhas.
O Azure Defender for Key Vault fornece proteção avançada contra ameaças nativa do Azure para o Azure Key Vault, fornecendo uma camada adicional de inteligência de segurança. Por extensão, o Azure Defender for Key Vault está, consequentemente, protegendo muitos dos recursos dependentes de suas contas do Cofre de Chaves.
O plano opcional agora é GA. Este recurso estava em pré-visualização como "proteção avançada contra ameaças para o Azure Key Vault".
Also, the Key Vault pages in the Azure portal now include a dedicated Security page for Security Center recommendations and alerts.
Saiba mais no Azure Defender for Key Vault.
A proteção do Azure Defender for Storage para Arquivos e ADLS Gen2 está disponível em geral
O Azure Defender for Storage deteta atividades potencialmente prejudiciais em suas contas de Armazenamento do Azure. Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Support for Azure Files and Azure Data Lake Storage Gen2 is now generally available.
A partir de 1º de outubro de 2020, começaremos a cobrar pela proteção de recursos nesses serviços.
Saiba mais no Azure Defender for Storage.
As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
A página de inventário de ativos da Central de Segurança do Azure fornece uma única página para exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos do Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades.
Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
O Azure Defender inclui scanners de vulnerabilidade para digitalizar imagens no seu Registo de Contentores do Azure e nas suas máquinas virtuais.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Quando uma localização corresponder aos critérios que você definiu nas regras de desativação, ela não aparecerá na lista de descobertas.
Esta opção está disponível nas páginas de detalhes das recomendações para:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Isentar um recurso de uma recomendação
Ocasionalmente, um recurso será listado como não saudável em relação a uma recomendação específica (e, portanto, reduzindo sua pontuação segura), mesmo que você sinta que não deveria ser. Ele pode ter sido remediado por um processo não rastreado pela Central de Segurança. Ou talvez sua organização tenha decidido aceitar o risco para esse recurso específico.
Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Estas regras podem incluir justificações documentadas, conforme descrito abaixo.
Saiba mais em Isentar um recurso de recomendações e pontuação segura.
Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
A Central de Segurança do Azure agora protege cargas de trabalho no Azure, na Amazon Web Services (AWS) e no Google Cloud Platform (GCP).
Quando você integra projetos da AWS e do GCP à Central de segurança, ela integra o AWS Security Hub, o GCP Security Command e a Central de Segurança do Azure.
Saiba mais em Conectar suas contas da AWS à Central de Segurança do Azure e Conectar seus projetos do GCP à Central de Segurança do Azure.
Pacote de recomendação de proteção de carga de trabalho do Kubernetes
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando você tiver instalado a Política do Azure para Kubernetes em seu cluster AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de práticas recomendadas antes de serem persistidas no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
Use a exportação contínua para transmitir seus alertas e recomendações para Hubs de Eventos do Azure, espaços de trabalho do Log Analytics ou Azure Monitor. A partir daí, você pode integrar esses dados com SIEMs, como Microsoft Sentinel, Power BI, Azure Data Explorer e muito mais.
As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações acionáveis dentro de uma recomendação "pai", como "Vulnerabilidades em suas máquinas virtuais devem ser corrigidas".
As descobertas de segurança agora estão disponíveis para exportação por meio de exportação contínua quando você seleciona recomendações e habilita a opção incluir descobertas de segurança.
Related pages:
- Solução integrada de avaliação de vulnerabilidades Qualys da Central de Segurança para máquinas virtuais do Azure
- Solução integrada de avaliação de vulnerabilidades da Central de Segurança para imagens do Registro de Contêiner do Azure
- Continuous export
Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
As configurações incorretas de segurança são uma das principais causas de incidentes de segurança. Security Center now has the ability to help prevent misconfigurations of new resources with regard to specific recommendations.
Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua pontuação segura.
Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:
Usando o modo negado da Política do Azure, você pode impedir que recursos não íntegros sejam criados
Using the enforced option, you can take advantage of Azure Policy's DeployIfNotExist effect and automatically remediate non-compliant resources upon creation
Isso está disponível para recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.
Saiba mais em Evitar configurações incorretas com recomendações de Impor/Negar.
Recomendações de grupos de segurança de rede melhoradas
As seguintes recomendações de segurança relacionadas a grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.
- Todas as portas de rede devem ser restritas no NSG associado à sua VM
- As portas de gestão devem estar fechadas nas suas máquinas virtuais
- As máquinas virtuais voltadas para a Internet devem ser protegidas com Grupos de Segurança de Rede
- As sub-redes devem ser associadas a um Grupo de Segurança de Rede
Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
A recomendação de visualização "As Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes" está sendo preterida conforme descrito na documentação do Serviço Kubernetes do Azure.
O recurso de política de segurança do pod (visualização) está definido para preterição e não estará mais disponível após 15 de outubro de 2020 em favor da Política do Azure para AKS.
Depois que a política de segurança do pod (visualização) for preterida, você deverá desabilitar o recurso em qualquer cluster existente usando o recurso preterido para executar futuras atualizações de cluster e permanecer no suporte do Azure.
Notificações por email da Central de Segurança do Azure aprimoradas
As seguintes áreas dos e-mails relativas a alertas de segurança foram melhoradas:
- Adicionada a capacidade de enviar notificações por e-mail sobre alertas para todos os níveis de gravidade
- Adicionada a capacidade de notificar usuários com diferentes funções do Azure na assinatura
- Estamos notificando proativamente os proprietários de assinaturas por padrão sobre alertas de alta gravidade (que têm uma alta probabilidade de serem violações genuínas)
- Removemos o campo de número de telefone da página de configuração de notificações por e-mail
Saiba mais em Configurar notificações por e-mail para alertas de segurança.
A pontuação segura não inclui recomendações de visualização
O Centro de Segurança avalia continuamente os recursos, as subscrições e a organização quanto a problemas de segurança. Em seguida, agrega todas as descobertas em uma única pontuação para que você possa dizer, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
À medida que novas ameaças são descobertas, novos conselhos de segurança são disponibilizados na Central de Segurança por meio de novas recomendações. To avoid surprise changes your secure score, and to provide a grace period in which you can explore new recommendations before they impact your scores, recommendations flagged as Preview are no longer included in the calculations of your secure score. Eles ainda devem ser corrigidos sempre que possível, para que, quando o período de visualização terminar, contribuam para sua pontuação.
Also, Preview recommendations don't render a resource "Unhealthy".
Um exemplo de uma recomendação de pré-visualização:
Saiba mais sobre a pontuação segura.
As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
A página de detalhes das recomendações agora inclui um indicador de intervalo de frescor (sempre que relevante) e uma exibição clara da gravidade da recomendação.
August 2020
As atualizações em agosto incluem:
- Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
- Adicionado suporte para padrões de segurança do Azure Ative Directory (para autenticação multifator)
- Foram adicionadas recomendações para principais de serviço
- Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
- Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
O inventário de ativos da Central de Segurança (atualmente em visualização) fornece uma maneira de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos do Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades. Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Você pode usar a exibição e seus filtros para explorar seus dados de postura de segurança e tomar outras ações com base em suas descobertas.
Learn more about asset inventory.
Adicionado suporte para padrões de segurança do Azure Ative Directory (para autenticação multifator)
Security Center has added full support for security defaults, Microsoft's free identity security protections.
Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização de ataques comuns relacionados à identidade. Os incumprimentos de segurança já protegem mais de 5 milhões de inquilinos em geral; 50.000 inquilinos também estão protegidos pelo Centro de Segurança.
A Central de Segurança agora fornece uma recomendação de segurança sempre que identifica uma assinatura do Azure sem padrões de segurança habilitados. Até agora, a Central de Segurança recomendava habilitar a autenticação multifator usando o acesso condicional, que faz parte da licença premium do Azure Ative Directory (AD). Para clientes que usam o Azure AD gratuitamente, agora recomendamos habilitar os padrões de segurança.
Our goal is to encourage more customers to secure their cloud environments with MFA, and mitigate one of the highest risks that is also the most impactful to your secure score.
Learn more about security defaults.
Foram adicionadas recomendações para principais de serviço
Foi adicionada uma nova recomendação para recomendar que os clientes do Centro de Segurança que utilizam certificados de gestão para gerir as suas subscrições mudem para entidades de serviço.
A recomendação, Entidades de serviço devem ser usadas para proteger suas assinaturas em vez de Certificados de Gerenciamento, aconselha você a usar Entidades de Serviço ou o Gerenciador de Recursos do Azure para gerenciar suas assinaturas com mais segurança.
Saiba mais sobre os objetos principais de aplicativo e serviço no Azure Ative Directory.
Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
A Central de Segurança inspeciona suas VMs para detetar se elas estão executando uma solução de avaliação de vulnerabilidade. Se nenhuma solução de avaliação de vulnerabilidade for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.
Quando vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir conforme necessário.
Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de scanner que estão usando, unificamos quatro recomendações nas duas seguintes:
| Unified recommendation | Change description |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Substitui as duas recomendações seguintes: Habilite a solução interna de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys (agora preterida) (incluída na camada padrão) A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais (agora preteridas) (níveis padrão e gratuito) |
| As vulnerabilidades em suas máquinas virtuais devem ser corrigidas | Substitui as duas recomendações seguintes: Corrigir vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) (agora preteridas) As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades (agora preterida) |
Agora você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidade da Central de Segurança ou uma solução licenciada em particular ("BYOL") de um parceiro como o Qualys ou o Rapid 7.
Além disso, quando vulnerabilidades são encontradas e relatadas à Central de Segurança, uma única recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidade que as identificou.
Updating dependencies
Se você tiver scripts, consultas ou automações referentes às recomendações anteriores ou chaves/nomes de política, use as tabelas abaixo para atualizar as referências:
Antes de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys) Key: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corrija vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais Key: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades Key: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
As vulnerabilidades devem ser corrigidas através de uma solução de avaliação da vulnerabilidade ID da política: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
A partir de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Key: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Built-in + BYOL |
|
As vulnerabilidades em suas máquinas virtuais devem ser corrigidas Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in + BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in + BYOL |
Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando políticas de nível Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
A fase inicial deste projeto inclui uma pré-visualização e a adição de novas políticas (desativadas por padrão) à iniciativa ASC_default.
Você pode ignorar essas políticas com segurança e não haverá impacto no seu ambiente. Se pretender ativá-los, inscreva-se na pré-visualização através da Comunidade Privada do Microsoft Cloud Security e selecione uma das seguintes opções:
- Single Preview – To join only this preview. Mencione explicitamente "ASC Continuous Scan" como a visualização que você gostaria de participar.
- Ongoing Program – To be added to this and future previews. Terá de preencher um contrato de perfil e privacidade.
July 2020
As atualizações em julho incluem:
- A avaliação de vulnerabilidades para máquinas virtuais agora está disponível para imagens que não estão no mercado
- Proteção contra ameaças para o Armazenamento do Azure alargada para incluir os Ficheiros do Azure e o Azure Data Lake Storage Gen2 (pré-visualização)
- Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
- Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
- Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
- Seis políticas de segurança de dados avançada SQL preteridas
Avaliação de vulnerabilidades para máquinas virtuais já disponível para imagens externas ao marketplace
Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. A verificação foi para confirmar um SKU de mercado da máquina virtual de destino.
A partir desta atualização, a verificação é removida e agora você pode implantar ferramentas de avaliação de vulnerabilidade em máquinas Windows e Linux 'personalizadas'. As imagens personalizadas são aquelas que você modificou em relação aos padrões do marketplace.
Embora agora você possa implantar a extensão de avaliação de vulnerabilidade integrada (alimentada pela Qualys) em muitas outras máquinas, o suporte só está disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs de camada padrão
Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (requer o Azure Defender).
Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada em particular da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidade de parceiro.
Proteção contra ameaças para o Armazenamento do Azure alargada para incluir os Ficheiros do Azure e o Azure Data Lake Storage Gen2 (pré-visualização)
A proteção contra ameaças para o Armazenamento do Azure deteta atividades potencialmente prejudiciais nas suas contas de Armazenamento do Azure. A Central de Segurança exibe alertas quando deteta tentativas de acessar ou explorar suas contas de armazenamento.
Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
Oito novas recomendações foram adicionadas para fornecer uma maneira simples de habilitar os recursos de proteção contra ameaças da Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, planos do Serviço de Aplicativo, servidores do Banco de Dados SQL do Azure, servidores SQL em máquinas, contas de Armazenamento do Azure, clusters do Serviço Kubernetes do Azure, registros do Registro de Contêiner do Azure e cofres do Cofre da Chave do Azure.
As novas recomendações são as seguintes:
- A segurança avançada de dados deve ser habilitada nos servidores do Banco de Dados SQL do Azure
- A segurança avançada de dados deve ser habilitada em servidores SQL em máquinas
- A proteção avançada contra ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure
- A proteção avançada contra ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure
- A proteção avançada contra ameaças deve ser habilitada nos cofres do Azure Key Vault
- A proteção avançada contra ameaças deve ser habilitada nos clusters do Serviço Kubernetes do Azure
- A proteção avançada contra ameaças deve ser habilitada nas contas do Armazenamento do Azure
- A proteção avançada contra ameaças deve ser habilitada em máquinas virtuais
As recomendações também incluem o recurso de correção rápida.
Important
A correção de qualquer uma dessas recomendações resultará em encargos para proteger os recursos relevantes. Essas cobranças começarão imediatamente se você tiver recursos relacionados na assinatura atual. Ou no futuro, se você adicioná-los em uma data posterior.
Por exemplo, se você não tiver nenhum cluster do Serviço Kubernetes do Azure em sua assinatura e habilitar a proteção contra ameaças, nenhuma cobrança será cobrada. Se, no futuro, você adicionar um cluster na mesma assinatura, ele será automaticamente protegido e as cobranças começarão nesse momento.
Saiba mais sobre a proteção contra ameaças na Central de Segurança do Azure.
Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
Como parte dos investimentos contínuos no domínio de segurança de contêineres, estamos felizes em compartilhar uma melhoria significativa de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas no Registro de Contêiner do Azure. As verificações agora normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, podem demorar até 15 minutos.
Para melhorar a clareza e a orientação sobre os recursos de segurança de contêiner da Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança de contêiner.
Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
O recurso de controles de aplicativo adaptáveis recebeu duas atualizações significativas:
Uma nova recomendação identifica comportamentos potencialmente legítimos que não foram permitidos anteriormente. A nova recomendação, Regras de lista de permissões em sua política de controle de aplicativo adaptável deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativo adaptável.
As regras de caminho agora oferecem suporte a curingas. A partir desta atualização, você pode configurar regras de caminho permitido usando curingas. Há dois cenários suportados:
Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta variável (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pastas gerados automaticamente, etc.).
Seis políticas de segurança de dados avançada SQL preteridas
Seis políticas relacionadas à segurança avançada de dados para máquinas SQL estão sendo preteridas:
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados da instância gerenciada SQL
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados do SQL Server
- As configurações avançadas de segurança de dados para instância gerenciada SQL devem conter um endereço de e-mail para receber alertas de segurança
- As configurações avançadas de segurança de dados para o SQL Server devem conter um endereço de email para receber alertas de segurança
- As notificações por e-mail para administradores e proprietários de assinaturas devem ser habilitadas nas configurações avançadas de segurança de dados da instância gerenciada SQL
- As notificações por e-mail destinadas aos administradores e proprietários de subscrições devem estar ativadas nas definições da segurança de dados avançada no servidor SQL
Learn more about built-in policies.
June 2020
As atualizações em junho incluem:
- API de pontuação segura (visualização)
- Segurança de dados avançada para máquinas SQL (Azure, outras nuvens e no local) (visualização)
- Duas novas recomendações para implantar o agente do Log Analytics em máquinas do Azure Arc (visualização)
- Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
- Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
- Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
API de pontuação segura (visualização)
Agora você pode acessar sua pontuação por meio da API de pontuação segura (atualmente em visualização). Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. For example, you can use the Secure Scores API to get the score for a specific subscription. Além disso, você pode usar a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas.
Para obter exemplos de ferramentas externas possibilitadas com a API de pontuação segura, consulte a área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
Segurança de dados avançada para máquinas SQL (Azure, outras nuvens e no local) (visualização)
A segurança de dados avançada da Central de Segurança do Azure para máquinas SQL agora protege os SQL Servers hospedados no Azure, em outros ambientes de nuvem e até mesmo em máquinas locais. Isso estende as proteções para seus SQL Servers nativos do Azure para oferecer suporte total a ambientes híbridos.
A segurança avançada de dados fornece avaliação de vulnerabilidades e proteção avançada contra ameaças para suas máquinas SQL, onde quer que elas estejam localizadas.
A configuração envolve duas etapas:
Implantar o agente do Log Analytics na máquina host do SQL Server para fornecer a conexão com a conta do Azure.
Ativar o pacote opcional na página de preços e definições do Centro de Segurança.
Saiba mais sobre segurança de dados avançada para máquinas SQL.
Duas novas recomendações para implantar o agente do Log Analytics em máquinas do Azure Arc (visualização)
Duas novas recomendações foram adicionadas para ajudar a implantar o Agente do Log Analytics em suas máquinas Azure Arc e garantir que elas estejam protegidas pela Central de Segurança do Azure:
- O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas no Windows (Visualização)
- O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas em Linux (Visualização)
Essas novas recomendações aparecerão nos mesmos quatro controles de segurança que a recomendação existente (relacionada), o agente de monitoramento deve ser instalado em suas máquinas: corrigir configurações de segurança, aplicar controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de endpoint.
As recomendações também incluem o recurso de correção rápida para acelerar o processo de implantação.
Saiba mais sobre como a Central de Segurança do Azure usa o agente em O que é o agente do Log Analytics?.
Saiba mais sobre extensões para máquinas Azure Arc.
Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
To deploy your automation configurations across your organization, use these built-in 'DeployIfdNotExist' Azure policies to create and configure continuous export and workflow automation procedures:
As definições de política podem ser encontradas na Política do Azure:
| Goal | Policy | Policy ID |
|---|---|---|
| Exportação contínua para Hubs de Eventos | Implantar a exportação para Hubs de Eventos para alertas e recomendações da Central de Segurança do Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportação contínua para o espaço de trabalho do Log Analytics | Implementar a exportação na área de trabalho do Log Analytics para alertas e recomendações do Centro de Segurança do Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automação do fluxo de trabalho para alertas de segurança | Implementar a Automatização do Fluxo de Trabalho para os alertas do Centro de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Implementar a Automatização do Fluxo de Trabalho para as recomendações do Centro de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Comece a usar modelos de automação de fluxo de trabalho.
Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação do fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.
Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
O controle de segurança "implementar práticas recomendadas de segurança" agora inclui a seguinte nova recomendação:
- As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Uma recomendação existente, as máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distinguindo entre VMs voltadas para a Internet e não voltadas para a Internet. Para ambos, uma recomendação de alta gravidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Esta nova recomendação separa as máquinas não voltadas para a Internet para reduzir os falsos positivos e evitar alertas desnecessários de alta gravidade.
Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
As novas definições de política abaixo foram adicionadas à iniciativa ASC Default e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança avançada de dados para os tipos de recursos relevantes.
As definições de política podem ser encontradas na Política do Azure:
Saiba mais sobre a Proteção contra ameaças na Central de Segurança do Azure.
May 2020
As atualizações em maio incluem:
- Regras de supressão de alertas (visualização)
- A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
- Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
- As recomendações personalizadas foram movidas para um controlo de segurança separado
- Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
- Controlo de segurança alargado "Implementar as melhores práticas de segurança"
- As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
- Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Regras de supressão de alertas (visualização)
Esta nova funcionalidade (atualmente em pré-visualização) ajuda a reduzir a fadiga de alerta. Use regras para ocultar automaticamente alertas que são conhecidos por serem inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.
Os alertas que correspondem às suas regras de supressão ativadas ainda serão gerados, mas seu estado será definido como descartado. Pode ver o estado no portal do Azure ou como acede aos alertas de segurança do Centro de Segurança.
As regras de supressão definem os critérios relativamente aos quais as indicações devem ser automaticamente rejeitadas. Normalmente, você usaria uma regra de supressão para:
suprimir alertas que identificou como falsos positivos
suprimir alertas que estão sendo acionados com muita frequência para serem úteis
Saiba mais sobre como suprimir alertas da proteção contra ameaças da Central de Segurança do Azure.
A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
A camada padrão da Central de Segurança agora inclui uma avaliação integrada de vulnerabilidades para máquinas virtuais sem custo adicional. Esta extensão é alimentada pela Qualys, mas reporta as suas descobertas diretamente ao Centro de Segurança. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança.
A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.
Para implantar a solução, use a nova recomendação de segurança:
"Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys)"
Saiba mais sobre a avaliação integrada de vulnerabilidades para máquinas virtuais do Centro de Segurança.
Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.
Esta atualização traz as seguintes alterações para esse recurso:
A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time."
A recomendação é acionada somente se houver portas de gerenciamento abertas.
Saiba mais sobre o recurso de acesso JIT.
As recomendações personalizadas foram movidas para um controlo de segurança separado
Um controle de segurança introduzido com a pontuação de segurança aprimorada foi "Implementar práticas recomendadas de segurança". Todas as recomendações personalizadas criadas para as suas subscrições foram automaticamente colocadas nesse controlo.
Para facilitar a localização das suas recomendações personalizadas, transferimo-las para um controlo de segurança dedicado, "Recomendações personalizadas". Este controlo não tem impacto na sua pontuação segura.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização) no Centro de Segurança do Azure.
Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controlo é um conjunto de recomendações de segurança, com instruções que o ajudam a implementar essas recomendações.
Para ver imediatamente o quão bem sua organização está protegendo cada superfície de ataque individual, revise as pontuações de cada controle de segurança.
Por padrão, suas recomendações são mostradas nos controles de segurança. A partir desta atualização, você também pode exibi-los como uma lista. Para visualizá-los como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova opção 'Agrupar por controles'. A alternância está acima da lista no portal.
Os controles de segurança - e essa alternância - fazem parte da nova experiência de pontuação segura. Lembre-se de nos enviar os seus comentários a partir do portal.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização) no Centro de Segurança do Azure.
Controlo de segurança alargado "Implementar as melhores práticas de segurança"
Um controle de segurança introduzido com a pontuação de segurança aprimorada é "Implementar práticas recomendadas de segurança". Quando uma recomendação está nesse controle, isso não afeta a pontuação segura.
Com esta atualização, três recomendações saíram dos controlos em que foram originalmente colocadas e passaram para este controlo de práticas recomendadas. Demos este passo porque determinámos que o risco destas três recomendações é menor do que se pensava inicialmente.
Além disso, foram introduzidas e acrescentadas a este controlo duas novas recomendações.
As três recomendações que avançaram são as seguintes:
- MFA deve ser habilitado em contas com permissões de leitura em sua assinatura (originalmente no controle "Enable MFA")
- Contas externas com permissões de leitura devem ser removidas da sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
- Um máximo de 3 proprietários devem ser designados para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
As duas novas recomendações aditadas ao controlo são as seguintes:
A extensão de configuração de convidado deve ser instalada em máquinas virtuais do Windows (Visualização) - Usar a Configuração de Convidado de Política do Azure fornece visibilidade dentro de máquinas virtuais para configurações de servidor e aplicativo (somente Windows).
O Windows Defender Exploit Guard deve ser habilitado em suas máquinas (Visualização) - o Windows Defender Exploit Guard aproveita o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows).
Saiba mais sobre o Windows Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização).
As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da pontuação segura e do painel de padrões de conformidade regulamentar. Esta funcionalidade está agora disponível em geral e permite-lhe alargar a cobertura da avaliação de segurança da sua organização no Centro de Segurança.
Crie uma iniciativa personalizada na Política do Azure, adicione políticas a ela e integre-a à Central de Segurança do Azure e visualize-a como recomendações.
Agora também adicionamos a opção de editar os metadados de recomendação personalizados. As opções de metadados incluem gravidade, etapas de correção, informações sobre ameaças e muito mais.
Saiba mais sobre como aprimorar suas recomendações personalizadas com informações detalhadas.
Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Estamos integrando os recursos de deteção de análise de despejo de falhas (CDA) do Windows na deteção de ataques sem arquivos. A análise de deteção de ataques sem arquivos traz versões aprimoradas dos seguintes alertas de segurança para máquinas Windows: injeção de código descoberta, mascaramento do módulo do Windows detetado, código do shell descoberto e segmento de código suspeito detetado.
Alguns dos benefícios desta transição:
Deteção proativa e oportuna de malware - A abordagem CDA envolvia esperar que uma falha ocorresse e, em seguida, executar a análise para encontrar artefatos maliciosos. O uso da deteção de ataques sem arquivos proporciona a identificação proativa de ameaças na memória enquanto elas estão em execução.
Enriched alerts - The security alerts from fileless attack detection include enrichments that aren't available from CDA, such as the active network connections information.
Alert aggregation - When CDA detected multiple attack patterns within a single crash dump, it triggered multiple security alerts. A deteção de ataques sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um único alerta, eliminando a necessidade de correlacionar vários alertas.
Requisitos reduzidos no espaço de trabalho do Log Analytics - Os despejos de falhas contendo dados potencialmente confidenciais não serão mais carregados no espaço de trabalho do Log Analytics.
April 2020
As atualizações em abril incluem:
- Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
- Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure
Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
O dashboard de conformidade regulamentar do Centro de Segurança do Azure inclui atualmente pacotes de conformidade dinâmicos (agora em disponibilidade geral) para monitorizar normas adicionais regulamentares e do setor.
Os pacotes de conformidade dinâmicos podem ser adicionados à sua subscrição ou grupo de gestão a partir da página da política de segurança do Centro de Segurança. Quando estiver integrado numa norma ou referência, a norma aparece no dashboard de conformidade regulamentar com todos os dados de conformidade associados mapeados como avaliações. Estará disponível para transferência um relatório resumido de todas as normas integradas.
Agora, você pode adicionar padrões como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Funcionário do Reino Unido e NHS do Reino Unido
- PBMM Federal do Canadá
- Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)
Além disso, adicionámos recentemente a Referência de Segurança do Azure, as diretrizes específicas do Azure criadas pela Microsoft para obter as melhores práticas de segurança e conformidade baseadas em arquiteturas de conformidade comuns. Serão suportadas normas adicionais no dashboard à medida que forem disponibilizadas.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Recomendações de identidade agora incluídas no escalão gratuito do Centro de Segurança do Azure
As recomendações de segurança para identidade e acesso no escalão gratuito do Centro de Segurança do Azure já estão em disponibilidade geral. Isso faz parte do esforço para tornar os recursos de gerenciamento de postura de segurança na nuvem (CSPM) gratuitos. Até agora, estas recomendações só estavam disponíveis no escalão de preço padrão.
Exemplos de recomendações de identidade e acesso incluem:
- "Deve ativar a autenticação multifator nas contas com permissões de proprietário na sua subscrição".
- "Deve designar um máximo de três proprietários para a sua subscrição".
- "Deve remover as contas preteridas da sua subscrição".
Se tiver subscrições no escalão de preço gratuito, as respetivas classificações de segurança serão afetadas por esta alteração, uma vez que nunca foram avaliadas em termos da sua segurança de identidade e acesso.
March 2020
As atualizações em março incluem:
- A automação do fluxo de trabalho agora está disponível para o público em geral
- Integração da Central de Segurança do Azure com o Windows Admin Center
- Proteção para o Serviço Kubernetes do Azure
- Experiência just-in-time melhorada
- Duas recomendações de segurança para aplicativos Web preteridas
A automação do fluxo de trabalho agora está disponível para o público em geral
A funcionalidade de automatização de fluxos de trabalho do Centro de Segurança do Azure já está em disponibilidade geral. Utilize-a para acionar automaticamente o Logic Apps nos alertas e recomendações de segurança. Além disso, os acionadores manuais estão disponíveis para alertas e para todas as recomendações que tiverem a opção de correção rápida disponível.
Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Estes processos poderão incluir o envio de notificações para os intervenientes relevantes, a iniciação de um processo de gestão de alterações e a aplicação de medidas específicas de remediação. Os especialistas em segurança recomendam que automatize o número máximo de passos possível desses procedimentos. A automatização reduz os custos gerais e pode melhorar a sua segurança na medida em que garante a rápida realização dos passos de forma consistente e de acordo com os seus requisitos predefinidos.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Saiba mais sobre como criar aplicativos lógicos.
Integração da Central de Segurança do Azure com o Windows Admin Center
Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para a Central de Segurança do Azure. Em seguida, o Centro de Segurança torna-se o seu único painel de vidro para ver informações de segurança de todos os recursos do Windows Admin Center, incluindo servidores no local, máquinas virtuais e cargas de trabalho PaaS adicionais.
Depois de mover um servidor do Windows Admin Center para a Central de Segurança do Azure, você poderá:
- Ver alertas de segurança e recomendações na extensão do Centro de Segurança do Windows Admin Center.
- Ver a postura de segurança e obter informações detalhadas adicionais dos servidores geridos pelo Windows Admin Center no Centro de Segurança no portal do Azure (ou através de uma API).
Saiba mais sobre como integrar o Centro de Segurança do Azure com o Windows Admin Center.
Proteção para o Serviço Kubernetes do Azure
O Centro de Segurança do Azure está a expandir as funcionalidades de segurança dos contentores para proteger o Azure Kubernetes Service (AKS).
A popular plataforma de código aberto Kubernetes é adotada tão amplamente que agora é um padrão da indústria para orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de uma aplicação em contentor requer conhecimento especializado para garantir que a infraestrutura é configurada de forma segura e monitorizada constantemente para detetar potenciais ameaças.
A defesa do Centro de Segurança inclui:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas na Central de Segurança.
- Security recommendations - Actionable recommendations to help you comply with security best-practices for AKS. Essas recomendações são incluídas na sua pontuação segura para garantir que sejam vistas como parte da postura de segurança da sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço do Kubernetes".
- Threat protection - Through continuous analysis of your AKS deployment, Security Center alerts you to threats and malicious activity detected at the host and AKS cluster level.
Saiba mais sobre a integração dos Serviços Kubernetes do Azure com a Central de Segurança.
Saiba mais sobre os recursos de segurança do contêiner na Central de Segurança.
Experiência just-in-time melhorada
Os recursos, a operação e a interface do usuário das ferramentas just-in-time da Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimorados da seguinte maneira:
- Justification field - When requesting access to a virtual machine (VM) through the just-in-time page of the Azure portal, a new optional field is available to enter a justification for the request. A informação introduzida neste campo pode ser vista no registo de atividades.
- Limpeza automática de regras redundantes just-in-time (JIT) - Sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura por incoerências entre as regras da sua política e as regras do NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determina a causa e, quando é seguro fazê-lo, remove as regras internas que não são mais necessárias. A ferramenta de limpeza nunca elimina regras que tenham sido criadas por si.
Saiba mais sobre o recurso de acesso JIT.
Duas recomendações de segurança para aplicativos Web preteridas
Duas recomendações de segurança relacionadas com aplicações Web estão a ser descontinuadas:
As regras para aplicações Web em NSGs IaaS devem ser protegidas. (Política relacionada: As regras dos NSGs para aplicações Web em IaaS devem ser reforçadas)
O acesso aos Serviços Aplicacionais deve ser restringido. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [visualização])
Essas recomendações não aparecerão mais na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".
February 2020
Deteção de ataques sem arquivos para Linux (visualização)
À medida que os atacantes recorrem a métodos cada vez mais furtivos para evitar a deteção, o Centro de Segurança do Azure alargou a deteção de ataques fileless para Linux, para além do Windows. Os ataques fileless exploram as vulnerabilidades de software, injetam payloads maliciosos nos processos de sistema benignos e ocultam-se na memória. These techniques:
- minimizar ou eliminar vestígios de malware no disco
- reduzir significativamente as chances de deteção por soluções de verificação de malware baseadas em disco
Para combater esta ameaça, o Centro de Segurança do Azure lançou a deteção de ataques fileless para Windows em outubro de 2018 e alargou-a agora ao Linux.
January 2020
Pontuação segura melhorada (pré-visualização)
Uma versão melhorada da funcionalidade Classificação de Segurança do Centro de Segurança do Azure está agora disponível em pré-visualização. Nesta versão, estão agrupadas várias recomendações nos Controlos de Segurança que refletem melhor as superfícies vulneráveis a ataques (por exemplo, acesso restrito a portas de gestão).
Familiarize-se com as alterações da classificação de segurança durante a fase de pré-visualização e determine outras remediações que o ajudarão a proteger ainda mais o seu ambiente.
Saiba mais sobre a pontuação segura aprimorada (visualização).
November 2019
As atualizações em novembro incluem:
- Proteção contra ameaças para o Azure Key Vault em regiões da América do Norte (visualização)
- A Proteção contra Ameaças para o Armazenamento do Azure inclui a Verificação da Reputação de Malware
- Automação do fluxo de trabalho com aplicativos lógicos (visualização)
- Correção rápida para recursos em massa geralmente disponíveis
- Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
- Normas adicionais de conformidade regulamentar (pré-visualização)
- Proteção contra ameaças para o Serviço Kubernetes do Azure (visualização)
- Avaliação de vulnerabilidade de máquina virtual (visualização)
- Segurança de dados avançada para servidores SQL em Máquinas Virtuais do Azure (visualização)
- Suporte para políticas personalizadas (visualização)
- Estendendo a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros
- Integrações avançadas com exportação de recomendações e alertas (visualização)
- Integrar servidores locais ao Centro de Segurança a partir do Windows Admin Center (pré-visualização)
Proteção contra ameaças para o Azure Key Vault em regiões da América do Norte (visualização)
O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicações na cloud ao oferecer a capacidade de gerir centralmente chaves, segredos, chaves criptográficas e políticas na cloud. Uma vez que o Azure Key Vault armazena dados confidenciais e críticos para a empresa, exige máxima segurança para os cofres de chaves e os dados nele armazenados.
O suporte da Central de Segurança do Azure para Proteção contra Ameaças para o Cofre de Chaves do Azure fornece uma camada adicional de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Esta nova camada de proteção permite que os clientes respondam a ameaças contra os seus cofres de chaves sem serem especialistas em segurança ou sem uma gestão de sistemas de monitorização de segurança. A funcionalidade está em pré-visualização pública nas Regiões da América do Norte.
A Proteção Contra Ameaças para o Armazenamento do Azure inclui Controlo de Reputação de Software Maligno
A proteção contra ameaças do Armazenamento do Microsoft Azure oferece novas deteções com tecnologia das Informações Sobre Ameaças da Microsoft para detetar carregamentos de malware para o Armazenamento do Microsoft Azure com análises de reputação de hashes e acesso suspeito a partir de um nó de saída Tor ativo (um proxy de anonimização). Agora, pode ver software maligno detetado em contas de armazenamento com o Centro de Segurança do Azure.
Automação do fluxo de trabalho com aplicativos lógicos (visualização)
As organizações com segurança e TI/operações geridas centralmente implementam processos de fluxo de trabalho internos para promoverem as ações necessárias dentro da organização quando se detetam discrepâncias nos respetivos ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis e a automação pode simplificar muito os processos dentro da organização.
Hoje, apresentamos um novo recurso na Central de Segurança que permite que os clientes criem configurações de automação aproveitando os Aplicativos Lógicos do Azure e criem políticas que as acionarão automaticamente com base em descobertas ASC específicas, como Recomendações ou Alertas. É possível configurar o Azure Logic Apps para que este realize qualquer ação personalizada suportada pela vasta comunidade de conectores do Logic Apps ou utilize um dos modelos fornecidos pelo Centro de Segurança, tais como enviar um e-mail ou abrir um pedido da ServiceNow™.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Para saber mais sobre a criação do Logic Apps, veja Azure Logic Apps.
Correção rápida para recursos em massa geralmente disponíveis
Devido ao grande número de tarefas que são atribuídas a um utilizador como parte da Classificação de Segurança, a capacidade de remediar problemas numa frota de grandes dimensões pode ser um desafio.
Use a correção rápida para corrigir erros de configuração de segurança, corrigir recomendações sobre vários recursos e melhorar sua pontuação segura.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
A correção rápida está geralmente disponível hoje para clientes como parte da página de recomendações da Central de Segurança.
Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
Agora o Centro de Segurança do Azure pode analisar imagens de contentor no Azure Container Registry para detetar vulnerabilidades.
A análise das imagens consiste na análise do ficheiro de imagem de contentor e numa verificação posterior que visa detetar eventuais vulnerabilidades conhecidas (com tecnologia da Qualys).
A análise é acionada automaticamente quando se emitem novas imagens de contentor para o Azure Container Registry. As vulnerabilidades encontradas aparecerão conforme as recomendações da Central de Segurança e serão incluídas na pontuação segura, juntamente com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.
Normas adicionais de conformidade regulamentar (pré-visualização)
O dashboard "Conformidade Regulamentar" fornece informações sobre a sua postura de conformidade com base em avaliações do Centro de Segurança. O dashboard mostra como os seus ambientes estão em conformidade com controlos e requisitos definidos por normas regulamentares e referências da indústria específicas, e fornece recomendações prescritivas sobre a forma como se devem abordar estes requisitos.
Até agora, o painel de conformidade regulamentar deu suporte a quatro padrões internos: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Estamos agora anunciando a versão prévia pública de padrões adicionais suportados: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official juntamente com o UK NHS. Também estamos lançando uma versão atualizada do Azure CIS 1.1.0, cobrindo mais controles do padrão e aprimorando a extensibilidade.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Proteção contra ameaças para o Serviço Kubernetes do Azure (visualização)
O Kubernetes está rapidamente a tornar-se o novo padrão para implementar e gerir software na cloud. Poucas são as pessoas que têm uma vasta experiência com o Kubernetes e muitas apenas se focam na administração e engenharia gerais, pelo que ignoram o fator da segurança. Deve configurar-se o ambiente do Kubernetes com cuidado para este estar protegido ao garantir que nenhuma porta de superfície de ataque focada em contentores é deixada aberta. O Centro de Segurança está a expandir o suporte no espaço de contentores para um dos serviços que estão a crescer mais rapidamente no Azure: o Azure Kubernetes Service (AKS).
As novas funcionalidades nesta versão de pré-visualização pública incluem:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas da Central de Segurança.
- Recomendações de pontuação segura - Itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviços do Kubernetes".
- Threat Detection - Host and cluster-based analytics, such as "A privileged container detected".
Avaliação de vulnerabilidade de máquina virtual (visualização)
Muitas vezes, as aplicações instaladas em máquinas virtuais podem ter vulnerabilidades que poderão originar falhas de segurança na máquina virtual. Estamos anunciando que a camada padrão da Central de Segurança inclui avaliação de vulnerabilidade interna para máquinas virtuais sem custo adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na visualização pública, permitirá que você analise continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresentar as descobertas na experiência do portal da Central de Segurança. O Centro de Segurança realiza todas as operações de implementação, pelo que o utilizador não precisará de ter trabalho adicional. No futuro, estamos planejando fornecer opções de avaliação de vulnerabilidade para dar suporte às necessidades de negócios exclusivas de nossos clientes.
Saiba mais sobre avaliações de vulnerabilidade para suas Máquinas Virtuais do Azure.
Segurança de dados avançada para servidores SQL em Máquinas Virtuais do Azure (visualização)
O suporte da Central de Segurança do Azure para proteção contra ameaças e avaliação de vulnerabilidades para DBs SQL em execução em VMs IaaS agora está em visualização.
Vulnerability assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Ele fornece visibilidade sobre sua postura de segurança como parte da pontuação segura e inclui as etapas para resolver problemas de segurança e aprimorar suas fortificações de banco de dados.
A Proteção Avançada contra Ameaças deteta atividades anómalas que indicam tentativas potencialmente perigosas e invulgares para aceder ou explorar o seu SQL Server. Monitoriza continuamente a sua base de dados para detetar atividades suspeitas e apresenta alertas de segurança orientados para ações relativos a padrões de acesso anómalo a bases de dados. Estes alertas mostram detalhes das atividades suspeitas e as ações recomendadas para investigar e mitigar essa ameaça.
Suporte para políticas personalizadas (visualização)
O Centro de Segurança do Azure suporta agora políticas personalizadas (em pré-visualização).
Os nossos clientes têm expressado a vontade de expandir a respetiva cobertura de avaliações de segurança atual no Centro de Segurança com as suas próprias avaliações de segurança baseadas em políticas que eles criam na Política do Azure. Graças ao suporte para políticas personalizadas, isto é agora possível.
Estas novas políticas farão parte da experiência de recomendações do Centro de Segurança, da Classificação de Segurança e do dashboard das normas de conformidade regulamentar. Com o suporte para políticas personalizadas, agora você pode criar uma iniciativa personalizada na Política do Azure, adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.
Expandir a cobertura do Centro de Segurança do Azure com uma plataforma para a comunidade e os parceiros
Use a Central de Segurança para receber recomendações não apenas da Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muitas outras integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você visualize suas recomendações de postura de segurança em um único local, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações internas e de parceiros. Também pode exportar as recomendações do Centro de Segurança para produtos de parceiros.
Saiba mais sobre a Microsoft Intelligent Security Association.
Integrações avançadas com exportação de recomendações e alertas (visualização)
Para habilitar cenários de nível empresarial sobre a Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto no portal do Azure ou na API. Eles podem ser exportados diretamente para um hub de eventos e para espaços de trabalho do Log Analytics. Seguem-se alguns fluxos de trabalho que pode criar em torno destas novas funcionalidades:
- Com a exportação para o espaço de trabalho do Log Analytics, você pode criar painéis personalizados com o Power BI.
- Com a exportação para Hubs de Eventos, você poderá exportar alertas e recomendações da Central de Segurança para seus SIEMs de terceiros, para uma solução de terceiros ou para o Azure Data Explorer.
Integrar servidores locais ao Centro de Segurança a partir do Windows Admin Center (pré-visualização)
O Windows Admin Center é um portal de gestão para Servidores Windows que não estão implementados no Azure e que lhes fornece várias capacidades de gestão do Azure, tais como cópias de segurança e atualizações de sistema. Adicionámos recentemente uma capacidade para incluir estes servidores que não são do Azure de forma que sejam protegidos diretamente pelo Certificado do Serviço de Aplicações a partir da experiência do Windows Admin Center.
Os usuários agora podem integrar um servidor WAC à Central de Segurança do Azure e habilitar a exibição de seus alertas e recomendações de segurança diretamente na experiência do Windows Admin Center.
September 2019
As atualizações em setembro incluem:
- Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
- Controlar a recomendação de segurança do contêiner usando a Política do Azure
Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
A experiência de gestão de regras para máquinas virtuais através de controlos de aplicação adaptáveis foi melhorada. Os controles de aplicativo adaptáveis da Central de Segurança do Azure ajudam você a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Para além de uma melhoria global da gestão de regras, dispõe também de um novo benefício que lhe permite controlar que tipos de ficheiro serão protegidos sempre que adicionar uma nova regra.
Saiba mais sobre controles de aplicativos adaptáveis.
Controlar a recomendação de segurança do contêiner usando a Política do Azure
A recomendação da Central de Segurança do Azure para corrigir vulnerabilidades na segurança de contêineres agora pode ser habilitada ou desabilitada por meio da Política do Azure.
Para ver as políticas de segurança ativadas, abra a página Política de Segurança no Centro de Segurança.
August 2019
As atualizações em agosto incluem:
- Acesso à VM just-in-time (JIT) para o Firewall do Azure
- Remediação com um único clique para melhorar sua postura de segurança (visualização)
- Cross-tenant management
Acesso à VM just-in-time (JIT) para o Firewall do Azure
O acesso à VM just-in-time (JIT) para o Azure Firewall está agora em disponibilidade geral. Utilize-o para proteger os seus ambientes protegidos do Azure Firewall, além dos ambientes protegidos do NSG.
O acesso à VM JIT reduz a exposição a ataques volumétricos da rede ao fornecer acesso controlado às VMs apenas quando for necessário, através das regras do NSG e do Azure Firewall.
Quando ativar o JIT para as suas VMs, criará uma política que determina as portas a proteger, o tempo durante o qual permanecem abertas e os endereços IP aprovados a partir dos quais estas portas podem ser acedidas. Esta política ajuda-o a manter o controlo das ações que os utilizadores podem realizar quando solicitarem acesso.
Os pedidos são registados no Registo de Atividades do Azure, pelo que pode monitorizar e auditar o acesso facilmente. A página just-in-time também ajuda você a identificar rapidamente VMs existentes que têm JIT habilitado e VMs onde JIT é recomendado.
Saiba mais sobre o Firewall do Azure.
Remediação com um único clique para melhorar sua postura de segurança (visualização)
A classificação de segurança é uma ferramenta que o ajuda a avaliar a sua postura de segurança de carga de trabalho. Revê as suas recomendações de segurança e classifica-as para que saiba que recomendações deve fazer primeiro. Isto ajuda-o a detetar as vulnerabilidades de segurança mais graves para classificar a investigação.
Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua pontuação segura, adicionamos um novo recurso que permite corrigir uma recomendação sobre uma grande quantidade de recursos em um único clique.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
Cross-tenant management
Agora, o Centro de Segurança suporta cenários de gestão entre inquilinos como parte do Azure Lighthouse. Desta forma, consegue obter visibilidade e gerir a postura de segurança de vários inquilinos no Centro de Segurança.
Saiba mais sobre experiências de gerenciamento entre locatários.
July 2019
Atualizações das recomendações de rede
O Centro de Segurança do Azure (ASC) lançou novas recomendações de rede e melhorou algumas recomendações existentes. Agora, ao utilizar o Centro de Segurança, está a garantir uma proteção de rede ainda maior para os seus recursos.
June 2019
Proteção de rede adaptável - disponível em geral
Uma das maiores superfícies de ataque para cargas de trabalho em execução na cloud pública são as ligações de e para a Internet pública. Os nossos clientes têm dificuldade em saber que regras do Grupo de Segurança de Rede (NSG) devem estar implementadas para garantir que as cargas de trabalho do Azure estão disponíveis apenas nos intervalos de origem necessários. Com esta funcionalidade, o Centro de Segurança aprende os padrões de conectividade e tráfego de rede das cargas de trabalho do Azure e fornece recomendações de regras NSG, para máquinas virtuais com acesso à Internet. Desta forma, os clientes podem configurar melhor as respetivas políticas de acesso à rede e limitar a sua exposição a ataques.