Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A pontuação segura no Microsoft Defender para Nuvem pode ajudá-lo a melhorar sua postura de segurança na nuvem. A pontuação de segurança agrega as descobertas de segurança em uma única pontuação para que você possa avaliar, rapidamente, sua situação de segurança atual. Quanto maior a pontuação, menor será o nível de risco identificado.
Quando você ativa o Defender para Nuvem em uma assinatura, o padrão de parâmetro de comparação de segurança da nuvem da Microsoft (MCSB) é aplicado por padrão na assinatura. Começa a avaliação dos recursos no escopo em relação ao padrão MCSB.
O MCSB emite recomendações com base nos resultados da avaliação. Somente as recomendações internas do MCSB afetam a pontuação de segurança. Atualmente, a priorização de risco não afeta a pontuação de segurança.
Observação
Dois modelos de Pontuação Segura: o Microsoft Defender para Nuvem agora oferece dois modelos de Classificação de Segurança diferentes. O novo Cloud Secure Score (baseado em risco) está disponível no portal do Microsoft Defender e incorpora fatores de risco de ativo e criticidade para priorização mais precisa. A pontuação de segurança clássica permanece disponível no portal do Azure. São modelos completamente diferentes com diferentes cálculos e valores. Para obter mais informações sobre o novo modelo, consulte a experiência do portal do Defender deste artigo.
As recomendações marcadas como Versão prévia não são incluídas nos cálculos da pontuação de segurança. Você ainda deve corrigir essas recomendações sempre que possível, para que, quando o período de visualização terminar, elas contribuam para sua pontuação. As recomendações de visualização são marcadas com um ícone: 
.
A maturidade da recomendação [versão prévia] não modifica a interface do usuário de pontuação segura ou o modelo de ponderação; ele classifica somente as recomendações. Além de excluir as recomendações de visualização, as fórmulas de classificação de segurança e os valores da interface do usuário permanecem inalterados.
Ver a classificação de segurança
Ao exibir o painel da Visão geral do Defender para Nuvem, você pode exibir a pontuação de segurança em todos os seus ambientes. O painel mostra a pontuação de segurança como um valor percentual e inclui os valores subjacentes.
O aplicativo móvel do Azure mostra a pontuação de segurança como um valor percentual. Toque nela para ver os detalhes que explicam a pontuação.
Explore sua postura de segurança
A página Postura de segurança no Defender para Nuvem mostra a pontuação de segurança nos seus ambientes em geral e em cada ambiente separadamente.
Nesta página, você pode ver assinaturas, contas e projetos que afetam sua pontuação geral, informações sobre recursos não íntegros e recomendações relevantes. Você pode filtrar por ambiente, como Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e Azure DevOps. Em seguida, você pode detalhar cada assinatura do Azure, a conta do AWS e o projeto GCP.
Cálculo da pontuação de segurança
Na página Recomendações no Defender para Nuvem, a guia Recomendações da pontuação de segurança mostra como os controles de conformidade no MCSB contribuem para a pontuação geral de segurança.
O Defender para Nuvem calcula cada controle a cada oito horas em cada assinatura do Azure ou em cada conector de nuvem AWS ou GCP.
Importante
As recomendações em um controle são atualizadas com mais frequência do que o próprio controle. Você pode encontrar discrepâncias entre a contagem de recursos nas recomendações e a contagem de recursos no controle.
Pontuações de exemplo para um controle
O exemplo a seguir se concentra nas recomendações de pontuação de segurança para Corrigir vulnerabilidades.
Este exemplo ilustra os campos a seguir nas recomendações.
| Campo | Detalhes |
|---|---|
| Corrigir vulnerabilidades | Um agrupamento de recomendações para descobrir e resolver vulnerabilidades conhecidas. |
| Pontuação máxima | O número máximo de pontos que você pode obter concluindo todas as recomendações em um controle. A pontuação máxima de um controle indica o significado relativo desse controle e é fixo para cada ambiente. Use os valores nesta coluna para determinar em quais problemas trabalhar primeiro. |
| Pontuação atual | A pontuação atual para este controle. Pontuação atual = [Pontuação por recurso] * [Número de recursos íntegros] Cada controle contribui para a pontuação total. Neste exemplo, o controle está contribuindo com 3,33 pontos para a pontuação total atual. |
| Possível aumento de pontuação | Os pontos restantes disponíveis para você dentro do controle. Se corrigir todas as recomendações desse controle, sua pontuação aumentará em 4%. Possível aumento na pontuação = [Pontuação por recurso] * [Número de recursos não íntegros] |
| Insights | Detalhes extras para cada recomendação, como: -
Recomendação de visualização: essa recomendação afeta a pontuação de segurança somente quando ela estiver disponível de forma geral.- 
Corrigir: resolva esse problema.- 
Impor: implante automaticamente uma política para corrigir esse problema sempre que alguém criar um recurso não compatível.- 
Negar: impedir que novos recursos sejam criados com esse problema. |
Pontuar equações de cálculo
Veja como as pontuações são calculadas.
Controle de segurança
A equação para determinar a pontuação de um controle de segurança é:
A pontuação atual de cada controle é uma medida do status dos recursos no controle. Cada controle de segurança individual contribui para a pontuação de segurança. Cada recurso afetado por uma recomendação no controle contribui para a pontuação atual do controle. A pontuação de segurança não inclui os recursos encontrados nas recomendações de visualização.
No exemplo a seguir, a pontuação máxima de 6 é dividida por 78 porque essa é a soma dos recursos íntegros e não íntegros. Assim, 6/78 = 0,0769. Multiplicar isso pelo número de recursos íntegros (4) resulta na pontuação atual: 0,0769 * 4 = 0,31.
Assinatura única ou conector
A equação para determinar a pontuação de segurança em uma única assinatura ou conector é:
Essa equação é a mesma equação de um conector, com apenas a palavra assinatura substituída pela palavra conector.
Várias assinaturas e conectores
A equação para determinar a pontuação de segurança de várias assinaturas e conectores é:
A pontuação combinada de várias assinaturas e conectores inclui um peso para cada assinatura e conector. O Defender for Cloud determina as ponderações relativas para suas assinaturas e conectores com base em um modelo de ponderação linear, usando o número combinado de recursos saudáveis e não saudáveis por assinatura (excluindo recursos "Não aplicáveis"). A pontuação atual para cada assinatura e conector é calculada do mesmo modo que para uma única assinatura ou um único conector e, em seguida, aplica-se o respectivo peso (consulte a equação). Se uma assinatura ou conector não tiver qualquer avaliação (nenhum recurso íntegro ou não íntegro) para um determinado controle, ele será excluído do cálculo de pontuação para essa assinatura ou conector. Nesse caso, nem os pontos potenciais atuais nem máximos do controle contribuem para a pontuação dessa assinatura. A pontuação de segurança agregada mostrada na interface do usuário não é uma média aritmética simples de porcentagens por assinatura ou contagens por controle; é uma soma ponderada entre assinaturas. Portanto, os números de recursos por controle exibidos na interface do usuário não podem ser usados para recompilar manualmente a pontuação de segurança geral em várias assinaturas.
Quando você exibe várias assinaturas e conectores, a pontuação de segurança avalia todos os recursos em todas as políticas habilitadas e as agrupa. Agrupá-los mostra como, juntos, eles afetam a pontuação máxima de cada controle de segurança.
Aprimorar uma pontuação de segurança
O MCSB consiste de uma série de controles de conformidade. Cada controle é um grupo lógico de recomendações de segurança relacionadas e reflete as superfícies de ataque vulneráveis.
Para ver como a sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança. Sua pontuação só melhora quando você corrige todas as recomendações.
Para obter todos os pontos possíveis para um controle de segurança, todos os seus recursos devem estar em conformidade com todas as recomendações de segurança no controle de segurança. Por exemplo, o Defender para Nuvem tem várias recomendações de como proteger suas portas de gerenciamento. Você precisa corrigir todos eles para fazer a diferença na sua pontuação de segurança.
Você pode melhorar sua pontuação de segurança usando qualquer um destes métodos:
- Corrija as recomendações de segurança da sua lista de recomendações. Você pode corrigir cada recomendação manualmente para cada recurso ou pode usar a opção Corrigir (quando disponível) para resolver um problema em vários recursos rapidamente.
- Imponha ou recuse recomendações para melhorar sua pontuação e garanta que seus usuários não criem recursos que possam afetar negativamente sua pontuação.
Controles de pontuação de segurança
A tabela a seguir lista os controles de segurança no Microsoft Defender para Nuvem. Quando a cada controle, você poderá ver o número máximo de pontos que poderá adicionar à sua pontuação de segurança se corrigir todos das recomendações listadas no controle, para todos dos seus recursos.
| Pontuação segura | Controle de segurança |
|---|---|
| 10 |
Habilitar a MFA: o Defender para Nuvem coloca um valor alto na MFA. Use essas recomendações para ajudar a proteger os usuários das suas assinaturas. Há três maneiras de habilitar a MFA e estar em conformidade com as recomendações: padrões de segurança, atribuição por usuário e política de acesso condicional. |
| 8 | Proteger as portas de gerenciamento: geralmente, os ataques de força bruta visam as portas de gerenciamento. Use estas recomendações para reduzir sua exposição com ferramentas como acesso à VM just-in-time e grupos de segurança de rede. |
| 6 | Aplicar atualizações do sistema: a não aplicação de atualizações deixa vulnerabilidades sem correções e resulta em ambientes suscetíveis a ataques. Use essas recomendações para manter a eficiência operacional, reduzir as vulnerabilidades de segurança e fornecer um ambiente mais estável para seus usuários. Para implantar atualizações de sistema, você pode usar o Gerenciador de Atualizações do Azure para gerenciar patches e atualizações para seus computadores. |
| 6 | Corrigir vulnerabilidades: quando sua ferramenta de avaliação de vulnerabilidade relata vulnerabilidades ao Defender para Nuvem, o Defender para Nuvem apresenta as descobertas e informações relacionadas como recomendações. Use essas recomendações para corrigir vulnerabilidades identificadas. |
| 4 | Corrigir as configurações de segurança: os ativos de TI configurados incorretamente correm maior risco de serem atacados. Use estas recomendações para proteger os erros de configuração identificados em sua infraestrutura. |
| 4 | Gerenciar o acesso e as permissões: em um programa de segurança, é fundamental garantir que seus usuários tenham apenas o acesso necessário para realizarem seu trabalho: o modelo de acesso de privilégios mínimos. Siga estas recomendações para gerenciar seus requisitos de identidade e acesso. |
| 4 | Habilitar a criptografia em repouso: use estas recomendações para garantir que você reduza as configurações incorretas em torno da proteção dos seus dados armazenados. |
| 4 | Criptografar dados em trânsito: use estas recomendações para ajudar a proteger os dados que estão sendo movidos entre componentes, locais ou programas. Esses dados são suscetíveis a ataques man-in-the-middle, espionagem e sequestro de sessão. |
| 4 |
Restringir o acesso não autorizado à rede: o Azure oferece um conjunto de ferramentas que o ajudam a fornecer altos padrões de segurança para acesso em toda a rede. Use estas recomendações para gerenciar a proteção de rede adaptável no Defender para Nuvem, verifique se você configurou o Link Privado do Azure em todos os serviços da plataforma como serviço (PaaS) relevantes, habilite o Firewall do Azure nas redes virtuais e muito mais. |
| 3 | Aplicar o controle de aplicativos adaptáveis: o controle de aplicativos adaptáveis é uma solução inteligente, automatizada e completa para controlar quais aplicativos podem ser executados nos seus computadores. Ele também ajuda a proteger seus computadores contra malware. |
| 2 | Proteger aplicativos contra ataques de DDoS: as soluções avançadas de segurança de rede no Azure incluem a Proteção contra DDoS do Azure, o Firewall de Aplicativo Web do Azure e o complemento do Azure Policy para Kubernetes. Use essas recomendações para ajudar a proteger seus aplicativos com essas ferramentas e outras mais. |
| 2 |
Habilitar a proteção dos pontos de extremidade: o Defender para Nuvem verifica os pontos de extremidade da sua organização em busca de soluções de detecção e resposta a ameaças ativas, como o Microsoft Defender para Ponto de Extremidade ou qualquer uma das principais soluções mostradas nesta lista. Se nenhuma solução de detecção e resposta de ponto de extremidade (EDR) estiver habilitada, use estas recomendações para implantar o Microsoft Defender para Ponto de Extremidade. O Defender para Ponto de Extremidade está incluído no Plano do Defender para servidores. Outras recomendações nesse controle ajudam você a implantar agentes e a configurar o monitoramento da integridade de arquivos. |
| 1 | Habilitar auditoria e log: os logs detalhados são parte crucial das investigações de incidentes e de muitas outras operações de solução de problemas. As recomendações nesse controle se concentram em garantir que você habilitou os logs de diagnóstico onde quer que eles sejam relevantes. |
| 0 | Habilita recursos de segurança aprimorados: use estas recomendações para habilitar qualquer plano do Defender para Nuvem. |
| 0 | Implementar as práticas recomendadas de segurança: essa coleção de recomendações é importante para sua segurança organizacional, mas não afeta sua pontuação de segurança. |
Acompanhar sua pontuação de segurança
Você pode encontrar sua pontuação de segurança geral e sua pontuação por assinatura, por meio do portal do Azure ou programaticamente, conforme descrito nas seções a seguir:
Dica
Para obter uma explicação detalhada de como suas pontuações são calculadas, consulte Cálculos – noções básicas sobre sua pontuação.
Obter sua pontuação de segurança no portal
O Defender para Nuvem exibe sua pontuação com destaque no portal do Azure. Quando você seleciona o bloco de pontuação de segurança na página de visão geral, é levado para a página de pontuação de segurança dedicada, na qual você vê a pontuação dividida por assinatura. Selecione uma única assinatura para ver a lista detalhada de recomendações priorizadas e o efeito potencial que a correção delas terá na pontuação da assinatura.
Sua pontuação segura é mostrada nos seguintes locais nas páginas do portal do Azure do Defender para Nuvem:
Em um bloco na Visão Geral do Defender para Nuvem (painel principal):
Na página dedicada Classificação de segurança, você poderá ver a classificação de segurança para sua assinatura e seus grupos de gerenciamento:
Observação
Todos os grupos de gerenciamento para os quais você não tem permissões suficientes mostrarão sua pontuação como "Restrito".
Na parte superior da página Recomendações :
Obter sua pontuação segura da API REST
Você pode acessar sua pontuação por meio da API de pontuação segura. Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo, você pode usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API de Controles de Pontuação Segura para listar os controles de segurança e a pontuação atual de suas assinaturas.
Para obter exemplos de ferramentas criadas sobre a API de pontuação segura, consulte a área de pontuação segura da nossa comunidade do GitHub.
Obter sua pontuação segura do Azure Resource Graph
O Azure Resource Graph fornece acesso instantâneo às informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure. Saiba mais sobre o Azure Resource Graph.
Para acessar a pontuação de segurança para várias assinaturas com o Azure Resource Graph:
No portal do Azure, abra o Azure Resource Graph Explorer.
Insira sua consulta Kusto (usando os exemplos a seguir para obter diretrizes).
Essa consulta retorna a ID da assinatura, a pontuação atual em pontos e como porcentagem e a pontuação máxima da assinatura.
SecurityResources | where type == 'microsoft.security/securescores' | extend current = properties.score.current, max = todouble(properties.score.max) | project subscriptionId, current, max, percentage = ((current / max)*100)Essa consulta retorna o status de todos os controles de segurança. Para cada controle, você obterá o número de recursos não íntegros, a pontuação atual e a pontuação máxima.
SecurityResources | where type == 'microsoft.security/securescores/securescorecontrols' | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max | project SecureControl , unhealthy, currentscore, maxscore
Selecione Executar consulta.
Acompanhe sua pontuação de segurança ao longo do tempo
Relatório de classificação de segurança ao longo do tempo na página de pastas de trabalho
A página de pastas de trabalho do Defender para Nuvem inclui um relatório pronto para acompanhar visualmente as pontuações de suas assinaturas, controles de segurança e muito mais. Saiba mais em Criar relatórios interativos e avançados dos dados do Defender para Nuvem.
Painéis do Power BI Pro
Se você for um usuário do Power BI com uma conta Pro, poderá usar o painel De Pontuação Segura ao Longo do Tempo do Power BI para acompanhar sua pontuação segura ao longo do tempo e investigar quaisquer alterações.
Dica
Você pode encontrar esse painel e outras ferramentas para trabalhar programaticamente com pontuação segura, na área dedicada da comunidade do Microsoft Defender para Nuvem no GitHub: https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score
O painel contém os dois relatórios a seguir para ajudá-lo a analisar seu status de segurança:
Resumo de recursos – fornece dados resumidos sobre a integridade dos recursos.
Resumo de Pontuação Segura – fornece dados resumidos sobre o progresso da pontuação. Use o gráfico "Pontuação de segurança ao longo do tempo por assinatura" para exibir as alterações na pontuação. Se você observar uma alteração dramática na sua pontuação, verifique a tabela "alterações detectadas que podem afetar sua pontuação de segurança" para obter possíveis alterações que possam ter causado a alteração. Esta tabela apresenta recursos excluídos, recursos recém-implantados ou recursos cujo status de segurança foi alterado em uma das recomendações.
Próximas etapas
Observação
Dois modelos de Pontuação Segura: o Microsoft Defender para Nuvem agora oferece dois modelos de Classificação de Segurança diferentes. O novo Cloud Secure Score (baseado em risco) está disponível no portal do Microsoft Defender e incorpora fatores de risco de ativo e criticidade para priorização mais precisa. A pontuação de segurança clássica permanece disponível no portal do Azure. São modelos completamente diferentes com diferentes cálculos e valores. Para obter mais informações sobre o modelo clássico, consulte a experiência do portal do Azure deste artigo.
Este recurso está na versão preview no momento. Para obter detalhes sobre as lacunas e restrições atuais, consulte limitações conhecidas.
Pontuação de segurança de nuvem no portal do Defender
A pontuação de segurança de nuvem (baseada em risco) é uma avaliação da sua postura de segurança na nuvem. A pontuação permite avaliar e monitorar objetivamente sua postura de segurança na nuvem e medir seus esforços de mitigação de risco.
A pontuação de segurança de nuvem introduz fatores de risco de ativo e a criticidade do ativo no cálculo, tornando a pontuação mais precisa e habilitando a priorização mais inteligente de recomendações de alto nível de risco.
Modelo de pontuação de segurança de nuvem
A pontuação de segurança de nuvem baseia-se no número e no nível de risco de recomendações abertas no Defender para nuvem. Para melhorar sua pontuação, concentre-se em recomendações com níveis de risco mais altos, pois elas contribuem mais para sua pontuação.
Fórmula de pontuação de segurança de nuvem
O Cloud Secure Score varia de 0 a 100, com 100 indicando uma postura de segurança ideal. A pontuação é uma agregação da pontuação de ativos selecionados.
Para calcular a pontuação ambiental de uma determinada organização em qualquer escopo, a fórmula avalia o risco do ativo (a combinação de probabilidade e impacto). Para cada ativo, a fórmula calcula uma média ponderada do nível de risco de recomendações nesse ativo, ao mesmo tempo em que considera os fatores de risco do ativo (por exemplo, exposição à Internet, confidencialidade de dados etc.), bem como a criticidade do ativo para a organização.
Legenda (Fórmula Cloud Secure Score)
- n = Número de ativos
- Criticality = A criticidade do ativo para a organização
- Rec. Low = Recomendações com baixo nível de risco
- Rec. Medium = Recomendações com nível de risco médio
- Rec. High = Recomendações com alto nível de risco
- Rec. Critical = Recomendações com nível de risco crítico
Acessar a pontuação de segurança de nuvem (portal do Defender)
As pontuações seguras são consolidadas em uma experiência unificada do Microsoft Security, fornecendo um único ponto de entrada para entender a postura entre identidades, dispositivos, aplicativos de nuvem, dados e infraestrutura. A pontuação de segurança de nuvem é o componente de postura de nuvem dentro desse conjunto mais amplo.
Caminhos de navegação para a pontuação de segurança de nuvem (iniciativa de nuvem)
- Gerenciamento de Exposição>Pontuação de Segurança> Visualizar iniciativa de Cloud
- Gerenciamento de Exposição>Iniciativas> Iniciativa de Nuvem
- Infraestrutura de nuvem>Visão geral> cartão de métricas principais ou widget de status de segurança Ver iniciativa de nuvem
Painel de iniciativas
Navegue até Gerenciamento de Exposição>Iniciativas para obter uma exibição consolidada de postura de segurança de nuvem. Este painel agrega:
- Principais iniciativas e seu status relativo
- Histórico recente de pontuação de segurança e exposição (tendências de 14 dias)
- Insights entre domínios (SaaS, endpoint, nuvem, identidade, proteção contra ransomware)
- Dados de postura específicos da carga de trabalho para monitorar a evolução da correção
Abrir a página da iniciativa na nuvem
- Vá para Gerenciamento de Exposição>Iniciativas.
- Selecione Cloud Security.
- No painel lateral, escolha abrir a página da iniciativa.
- Examine os elementos do painel de visão geral:
- Pontuação de segurança da nuvem atual
- Tendência da pontuação de segurança ao longo do tempo
- Pontuação de segurança por ambiente (Azure, AWS, GCP) para comparação rápida de várias nuvens
- Proteger a pontuação por workload para destacar as diferenças de postura entre as principais categorias de carga de trabalho
- Resumo de recomendações
- Recomendações mais comuns por grau de criticidade para concentrar a correção onde ela gera o maior impacto na pontuação e redução de risco.
Observação
A pontuação de segurança anterior (clássica) ainda está disponível no portal do Azure usando a exibição clássica de recomendações. Navegação: o portal do Azure → o Microsoft Defender para Cloud → Recomendações → Alternar para o modo de exibição clássico.
Contexto da Pontuação de Segurança da Microsoft
A pontuação de segurança da Microsoft é um conceito mais amplo e unificado que abrange vários domínios de segurança. Esta página se concentra na pontuação de segurança de nuvem (gerenciamento de postura de segurança de nuvem no Defender para Nuvem). Outras pontuações de segurança da Microsoft aparecem nos portais de segurança da Microsoft.
Tipos de pontuação de segurança
| Tipo de pontuação | Escopo/domínio | Produtos de origem primária e dados |
|---|---|---|
| Pontuação de Segurança da Microsoft | Postura de identidade | Recomendações do Microsoft Entra (Azure AD) |
| Pontuação de segurança de exposição | Postura de dispositivo/ponto de extremidade | Microsoft Defender para Endpoint (configuração do dispositivo, proteção contra ameaças) |
| Pontuação de segurança de nuvem | Postura de nuvem (várias nuvens) | Microsoft Defender para Nuvem (Azure, AWS, GCP) |
Observação
As recomendações sinalizadas como visualização não estão incluídas nos cálculos de pontuação segura. Você ainda deve corrigir essas recomendações sempre que possível, para que, quando o período de visualização terminar, elas contribuam para sua pontuação. As recomendações de visualização são marcadas com um ícone: .
A maturidade da recomendação [versão prévia] não modifica a interface do usuário de pontuação segura ou o modelo de ponderação; ele classifica somente as recomendações. Além de excluir as recomendações de visualização, as fórmulas de classificação de segurança e os valores da interface do usuário permanecem inalterados.