Partilhar via

Rever as recomendações de segurança

No Microsoft Defender for Cloud, os recursos e cargas de trabalho são avaliados em relação aos padrões de segurança internos e personalizados, que são aplicados em suas assinaturas do Azure, contas da Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP). Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para remediar problemas de segurança e melhorar a postura de segurança.

O Defender for Cloud usa proativamente um mecanismo dinâmico que avalia os riscos em seu ambiente, enquanto considera o potencial de exploração e o potencial efeito de negócios em sua organização. O mecanismo prioriza recomendações de segurança com base nos fatores de risco de cada recurso. O contexto do ambiente determina estes fatores de risco. Esse contexto inclui a configuração do recurso, as conexões de rede e a postura de segurança.

Pré-requisitos

Rever a página de recomendações

Reveja as recomendações e certifique-se de que todos os detalhes estão corretos antes de resolvê-los.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Na página de recomendação, analise os seguintes detalhes:

    • Nível de risco: A vulnerabilidade e o efeito comercial do problema de segurança subjacente, considerando o contexto de recursos ambientais, como exposição à Internet, dados confidenciais, movimento lateral e muito mais.
    • Fatores de risco: fatores ambientais do recurso afetado pela recomendação, que influenciam a vulnerabilidade e o efeito comercial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados sensíveis e potencial de movimento lateral.
    • Recurso: O nome do recurso afetado.
    • Status: o status da recomendação, como não atribuída, dentro do prazo ou vencida.
    • Descrição: uma breve descrição do problema de segurança.
    • Caminhos de ataque: O número de caminhos de ataque.
    • Âmbito: a assinatura ou recurso afetado.
    • Atualidade: O intervalo de atualização da recomendação.
    • Data da última alteração: a data em que esta recomendação foi alterada pela última vez.
    • Gravidade: A gravidade da recomendação: Alta, Média ou Baixa. Mais detalhes são fornecidos mais adiante neste artigo.
    • Proprietário: A pessoa designada para a recomendação.
    • Data de vencimento: a data de vencimento atribuída para resolver a recomendação.
    • Táticas e técnicas: As táticas e técnicas mapeadas para MITRE ATT&CK.

Explore uma recomendação

Você pode interagir com recomendações de várias maneiras. Se uma opção não estiver disponível, isso significa que não é relevante para a recomendação.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Na recomendação, você pode executar estas ações:

    • Para exibir informações detalhadas sobre os recursos afetados com uma consulta do Azure Resource Graph Explorer, selecione Abrir consulta.
    • Para exibir a entrada da Política do Azure para a recomendação subjacente (se relevante), selecione Exibir definição de política.
    • Para exibir todos os recursos aos quais a recomendação se aplica, selecione Exibir recomendação para todos os recursos.

  5. Em Agir:

    • Corrigir: uma descrição das etapas manuais necessárias para resolver o problema de segurança nos recursos afetados. Para obter recomendações com a opção Corrigir , você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.
    • Proprietário da recomendação e data de vencimento definida: se você habilitar uma regra de governança para a recomendação, poderá atribuir um proprietário e uma data de conclusão.
    • Isentar: você pode isentar recursos da recomendação ou desabilitar descobertas específicas usando regras de desabilitação.
    • Automação do fluxo de trabalho: defina um aplicativo lógico para ser acionado com a recomendação.

    Captura de ecrã que mostra o que pode ver na recomendação quando seleciona o separador Executar ação.

  6. Em Descobertas, você pode revisar descobertas afiliadas por gravidade.

    Imagem de ecrã que mostra a guia de descobertas numa recomendação, incluindo todos os trajetos de ataque para essa recomendação.

  7. No Graph, você pode visualizar e investigar todo o contexto usado para priorização de risco, incluindo caminhos de ataque. Você pode selecionar um nó num caminho de ataque para visualizar os detalhes do nó selecionado.

    Captura de tela que mostra a guia Gráfico em uma recomendação, incluindo todos os caminhos de ataque para essa recomendação.

  8. Para ver mais detalhes, selecione um nó.

    Captura de ecrã que exibe a aba Gráfico com um nó selecionado, mostrando detalhes adicionais.

  9. Selecione Insights.

  10. Para ver os detalhes, selecione uma vulnerabilidade no menu suspenso.

    Captura de ecrã do separador Informações de um nó.

  11. (Opcional) Para visualizar a página de recomendação associada, selecione Abrir a página de vulnerabilidade.

  12. Remediar a recomendação.

Recomendações do grupo por título

Você pode agrupar recomendações por título com a página de recomendações do Defender for Cloud. Esse recurso é útil quando você deseja corrigir uma recomendação que afeta vários recursos devido a um problema de segurança específico.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Grupo por título.

    Captura de ecrã da página de recomendações que mostra a localização do grupo por título.

Gerir as recomendações que lhe foram atribuídas

O Defender for Cloud suporta regras de governança para recomendações. Você pode atribuir um proprietário de recomendação ou uma data de vencimento. Você pode ajudar a garantir a responsabilidade usando regras de governança, que também oferecem suporte a um contrato de nível de serviço (SLA) para recomendações.

  • As recomendações aparecem como No prazo até que a data de vencimento passe. Em seguida, eles mudam para Overdue.
  • Quando uma recomendação não é classificada como Atrasada, isso não afeta seu Microsoft Secure Score.
  • Você também pode aplicar um período de carência para que as recomendações em atraso não afetem sua Pontuação Segura.

Saiba mais sobre como configurar regras de governança.

Para ver todas as recomendações que lhe foram atribuídas:

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Adicionar filtro>Proprietário.

  4. Selecione sua entrada de usuário.

  5. Selecione Aplicar.

  6. Nos resultados da recomendação, revise as recomendações, incluindo recursos afetados, fatores de risco, caminhos de ataque, datas de vencimento e status.

  7. Selecione uma recomendação para analisá-la ainda mais.

Para fazer alterações em uma atribuição, conclua as seguintes etapas:

  1. Vá para Agir>Alterar proprietário ou data de vencimento.

  2. Selecione Editar atribuição para alterar o responsável pela recomendação ou a data de vencimento.

  3. Se você selecionar uma nova data de correção, especifique por que a correção deve ser concluída até essa data em Justificação.   

  4. Selecione Guardar.

    Observação

    Quando você altera a data de conclusão esperada, a data de conclusão da recomendação não é alterada, mas os parceiros de segurança podem ver que você planeja atualizar os recursos até a data especificada.

Por padrão, o proprietário do recurso recebe um e-mail semanal que mostra todas as recomendações atribuídas a ele.

Você também pode usar a opção Definir notificações por e-mail para:

  • Substitua o e-mail semanal padrão do proprietário.
  • Notifique os proprietários semanalmente com uma lista de tarefas abertas ou em atraso.
  • Notifique o gerente direto do proprietário com uma lista de tarefas aberta.

Rever recomendações no Azure Resource Graph

Você pode usar o Azure Resource Graph para escrever uma consulta KQL (Kusto Query Language) para consultar dados de postura de segurança do Defender for Cloud em várias assinaturas. O Azure Resource Graph fornece uma maneira eficiente de consultar em escala em ambientes de nuvem exibindo, filtrando, agrupando e classificando dados.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Selecione Abrir consulta.

  5. Você pode abrir a consulta de duas maneiras:

    • Consulta que retorna recurso afetado: retorna uma lista de todos os recursos afetados pela recomendação.
    • Consulta que retorna descobertas de segurança: retorna uma lista de todos os problemas de segurança encontrados pela recomendação.

  6. Selecione Executar consulta.

    Captura de ecrã do Azure Resource Graph Explorer que mostra os resultados da recomendação da captura de ecrã anterior.

  7. Analise os resultados.

Como são classificadas as recomendações?

Cada recomendação de segurança do Defender for Cloud recebe uma das três classificações de gravidade.

Alta severidade

Recomendamos que você responda a essas recomendações imediatamente. Eles indicam que há uma vulnerabilidade de segurança crítica que um invasor pode explorar para obter acesso não autorizado aos seus sistemas ou dados.

Exemplos de recomendações de alta gravidade incluem:

  • Segredos desprotegidos numa máquina.
  • Regras de grupo de segurança de rede de entrada excessivamente permissivas.
  • Clusters que permitem a implementação de imagens a partir de registadores não confiáveis.
  • Acesso público irrestrito a contas de armazenamento ou bancos de dados.

Gravidade média

Estas recomendações indicam um potencial risco de segurança. Recomendamos que você responda a essas recomendações em tempo hábil, mas elas podem não exigir atenção imediata.

Exemplos de recomendações de gravidade média incluem:

  • Contêineres que compartilham namespaces de host confidenciais.
  • Aplicativos Web que não usam identidades gerenciadas.
  • Máquinas Linux que não requerem chaves SSH durante a autenticação.
  • Credenciais não utilizadas deixadas no sistema após 90 dias de inatividade.

Baixa severidade

Essas recomendações indicam um problema de segurança relativamente pequeno que pode ser resolvido de acordo com sua conveniência.

Exemplos de recomendações de baixa gravidade incluem:

  • O uso de autenticação local em vez de Microsoft Entra ID.
  • Problemas de saúde com sua solução de proteção de endpoint.
  • Os usuários que não seguem as práticas recomendadas com grupos de segurança de rede.
  • Configurações de log mal configuradas, o que pode dificultar a deteção e a resposta a incidentes de segurança.

As políticas internas de uma organização podem diferir da classificação da Microsoft de uma recomendação específica. Recomendamos que reveja sempre cuidadosamente cada recomendação e considere o seu potencial efeito na sua postura de segurança antes de decidir como abordá-la.

Observação

Os clientes do Defender CSPM têm acesso a um sistema de classificação mais rico, onde as recomendações apresentam uma determinação do nível de risco que utiliza o contexto do recurso e todos os recursos relacionados. Saiba mais sobre a priorização de riscos.

Exemplo

Neste exemplo, a página Detalhes da recomendação mostra 15 recursos afetados:

Captura de ecrã do botão Abrir consulta na página Detalhes da recomendação.

Quando você abre e executa a consulta subjacente, o Azure Resource Graph Explorer retorna os mesmos recursos afetados para essa recomendação.

Conteúdo relacionado

  • Last updated on