Adicionar iniciativas personalizadas ao Microsoft Defender for Cloud
O que são políticas de segurança, iniciativas
O Microsoft Defender for Cloud aplica iniciativas de segurança às suas subscrições. Estas iniciativas contêm uma ou mais políticas de segurança. Cada uma dessas políticas resulta em uma recomendação de segurança para melhorar sua postura de segurança.
O que é uma iniciativa de segurança?
Uma iniciativa de segurança é uma coleção de definições ou regras da Política do Azure que são agrupadas em direção a uma meta ou finalidade específica. As iniciativas de segurança simplificam o gerenciamento de suas políticas agrupando um conjunto de políticas, logicamente, como um único item.
Uma iniciativa de segurança define a configuração desejada de suas cargas de trabalho e ajuda a garantir que você cumpra os requisitos de segurança de sua empresa ou reguladores.
Assim como as políticas de segurança, as iniciativas do Defender for Cloud também são criadas na Política do Azure. Você pode usar a Política do Azure para gerenciar suas políticas, criar iniciativas e atribuir iniciativas a várias assinaturas ou grupos de gerenciamento inteiros.
A iniciativa padrão atribuída automaticamente a cada assinatura no Microsoft Defender for Cloud é a referência de segurança na nuvem da Microsoft. Esta referência é o conjunto de diretrizes criado pela Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
O Defender for Cloud oferece as seguintes opções para trabalhar com iniciativas e políticas de segurança:
- Ver e editar a iniciativa predefinida incorporada - Quando ativa o Defender for Cloud, a iniciativa denominada "Referência de segurança na nuvem da Microsoft" é automaticamente atribuída a todas as subscrições registadas do Defender for Cloud. Para personalizar essa iniciativa, você pode habilitar ou desabilitar políticas individuais nela editando os parâmetros de uma política.
- Adicione as suas próprias iniciativas personalizadas - Se quiser personalizar as iniciativas de segurança aplicadas à sua subscrição, pode fazê-lo no Defender for Cloud. Em seguida, você receberá recomendações se suas máquinas não seguirem as políticas criadas.
- Adicione padrões de conformidade regulatória como iniciativas - o painel de conformidade regulatória do Defender for Cloud mostra o status de todas as avaliações em seu ambiente no contexto de um padrão ou regulamento específico (como o Azure Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) Special Publications (SP) SP 800-53 Rev.4, o Customer Security Program (CSP) Call Session Control Function (CSCF) v2020 da Swift).
Exemplo: iniciativa de segurança integrada
O que é uma política de segurança?
Uma definição de Política do Azure, criada na Política do Azure, é uma regra sobre condições de segurança específicas que você deseja controlar. As definições internas incluem coisas como controlar que tipo de recursos podem ser implantados ou impor o uso de tags em todos os recursos. Você também pode criar suas próprias definições de política personalizadas.
Para implementar essas definições de política (internas ou personalizadas), você precisará atribuí-las. Pode atribuir qualquer uma destas políticas através do portal do Azure, do PowerShell ou da CLI do Azure. As políticas podem ser desabilitadas ou habilitadas na Política do Azure.
Há diferentes tipos de políticas na Política do Azure. O Defender for Cloud usa principalmente políticas de "Auditoria" que verificam condições e configurações específicas e, em seguida, relatam a conformidade. Há também políticas de imposição que podem ser usadas para aplicar configurações de segurança.
Exemplo: Política de segurança incorporada
O Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC), que fornece funções internas que você pode atribuir a usuários, grupos e serviços do Azure. Quando os usuários abrem o Defender for Cloud, eles veem apenas informações relacionadas aos recursos que podem acessar. Os usuários recebem a função de proprietário, colaborador ou leitor à assinatura do recurso.
Há duas funções específicas para o Defender for Cloud:
- Administrador de segurança: Tem os mesmos direitos de visualização que o leitor de segurança. Também pode atualizar a política de segurança e descartar alertas.
- Leitor de segurança: tem direitos para visualizar itens do Defender for Cloud, como recomendações, alertas, política e integridade. Não é possível fazer alterações.
Você pode editar políticas de segurança por meio do portal de Política do Azure por meio da Interface de Programação de Aplicativo de Transferência de Estado Representacional (API REST) ou usando o Windows PowerShell.
O ecrã Política de Segurança reflete a ação executada pelas políticas atribuídas à subscrição ou ao grupo de gestão selecionado.
- Use os links na parte superior para abrir uma atribuição de política que se aplique à assinatura ou ao grupo de gerenciamento. Esses links permitem que você acesse a atribuição e edite ou desabilite a política. Por exemplo, se você vir que uma atribuição de política específica está efetivamente negando a proteção de ponto de extremidade, use o link para editar ou desabilitar a política.
- Na lista de políticas, você pode ver a aplicação efetiva da política em sua assinatura ou grupo de gerenciamento. As configurações de cada política que se aplicam ao escopo são levadas em consideração e o resultado cumulativo das ações tomadas pela política é mostrado. Por exemplo, se uma atribuição da política estiver desabilitada, mas em outra, ela estiver definida como AuditIfNotExist, o efeito cumulativo se aplicará a AuditIfNotExist. O efeito mais ativo tem sempre precedência.
- O efeito das políticas pode ser: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists ou Disabled.