Outras proteções contra ameaças no Microsoft Defender for Cloud

  • Artigo

Além de seus planos de proteção avançada integrados, o Microsoft Defender for Cloud também oferece os seguintes recursos de proteção contra ameaças.

Gorjeta

Para habilitar os recursos de proteção contra ameaças do Defender for Cloud, você deve habilitar recursos de segurança aprimorados na assinatura que contém as cargas de trabalho aplicáveis.

Proteção contra ameaças para a camada de rede do Azure

O Defenders for Cloud análise de camada de rede é baseado em dados IPFIX de exemplo, que são cabeçalhos de pacote coletados pelos roteadores principais do Azure. Com base nesse feed de dados, o Defender for Cloud usa modelos de aprendizado de máquina para identificar e sinalizar atividades de tráfego mal-intencionadas. O Defender for Cloud também usa o banco de dados Microsoft Threat Intelligence para enriquecer endereços IP.

Algumas configurações de rede impedem que o Defender for Cloud gere alertas sobre atividades suspeitas na rede. Para que o Defender for Cloud gere alertas de rede, certifique-se de que:

  • Sua máquina virtual tem um endereço IP público (ou está em um balanceador de carga com um endereço IP público).
  • O tráfego de saída de rede da máquina virtual não é bloqueado por uma solução IDS externa.

Para obter uma lista dos alertas da camada de rede do Azure, consulte a Tabela de alertas de referência.

Transmitir alertas de segurança de outros serviços da Microsoft

Exibir alertas WAF do Azure no Defender for Cloud

O Gateway de Aplicação do Azure oferece uma firewall de aplicações Web (WAF) que fornece proteção centralizada para as suas aplicações Web contra exploits e vulnerabilidades comuns.

As aplicações Web são cada vez mais alvo de ataques maliciosos que exploram vulnerabilidades comummente conhecidas. O WAF do Application Gateway é baseado no Core Rule set 3.2 ou superior do Open Web Application Security Project. O WAF é atualizado automaticamente para proteger contra novas vulnerabilidades.

Se você criou a solução WAF Security, seus alertas WAF são transmitidos para o Defender for Cloud sem outras configurações. Para obter mais informações sobre os alertas gerados pelo WAF, consulte Grupos de regras e regras CRS do firewall de aplicativo Web.

Nota

Apenas o WAF v1 é suportado e funcionará com o Microsoft Defender for Cloud.

Para implantar o WAF do Gateway de Aplicativo do Azure, execute as seguintes etapas:

  1. No portal do Azure, abra o Defender for Cloud.

  2. No menu do Defender for Cloud, selecione Soluções de segurança.

  3. Na seção Adicionar fontes de dados, selecione Adicionar para o WAF do Gateway de Aplicativo do Azure.

    Screenshot showing where to select add to deploy WAF.

Exibir alertas da Proteção contra DDoS do Azure no Defender for Cloud

Os ataques distribuídos de negação de serviço (DDoS) são conhecidos por serem fáceis de executar. Eles se tornaram uma grande preocupação de segurança, especialmente se você estiver movendo seus aplicativos para a nuvem. Um ataque DDoS tenta esgotar os recursos de um aplicativo, tornando o aplicativo indisponível para usuários legítimos. Os ataques DDoS podem ter como alvo qualquer ponto final que possa ser alcançado através da Internet.

Para se defender contra ataques DDoS, adquira uma licença para a Proteção contra DDoS do Azure e certifique-se de que está a seguir as práticas recomendadas de design de aplicações. A Proteção contra DDoS fornece diferentes níveis de serviço. Para obter mais informações, consulte Visão geral da Proteção contra DDoS do Azure.

Se você tiver a Proteção contra DDoS do Azure habilitada, seus alertas DDoS serão transmitidos para o Defender for Cloud sem a necessidade de outra configuração. Para obter mais informações sobre os alertas gerados pela Proteção contra DDoS, consulte Tabela de referência de alertas.

Gerenciamento de permissões do Microsoft Entra (anteriormente Cloudknox)

O Microsoft Entra Permissions Management é uma solução de gerenciamento de direitos de infraestrutura em nuvem (CIEM). O Microsoft Entra Permission Management fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso no Azure, AWS e GCP.

Como parte da integração, cada assinatura do Azure integrada, conta da AWS e projeto GCP oferecem uma visão do seu PCI (Permission Creep Index). O PCI é uma métrica agregada que avalia periodicamente o nível de risco associado ao número de permissões não utilizadas ou excessivas entre identidades e recursos. O PCI mede o quão arriscadas as identidades podem ser, com base nas permissões disponíveis para elas.

Screenshot of the three associated permission creed index recommendations for Azure, AWS, and GCP.

Próximos passos

Para saber mais sobre os alertas de segurança desses recursos de proteção contra ameaças, consulte os seguintes artigos: