Compartilhar via

Recomendações de segurança

As recomendações de segurança no Microsoft Defender para Nuvem contêm diretrizes acionáveis que ajudam você a proteger seus recursos e melhorar sua postura de segurança. Cada recomendação fornece etapas detalhadas para resolver problemas de segurança específicos identificados em seus ambientes de nuvem.

As recomendações de segurança são geradas com base na avaliação contínua de seus recursos em relação às políticas de segurança e aos padrões de conformidade. Eles fornecem etapas claras de correção, priorização com base no risco e diretrizes para ajudá-lo a fortalecer suas defesas contra possíveis ameaças.

O que são os fatores de risco?

O Defender para Nuvem usa o contexto de um ambiente, incluindo a configuração do recurso, as conexões de rede e a postura de segurança, para avaliar o risco de possíveis problemas de segurança. Ao usar esse contexto, ele identifica os riscos de segurança mais significativos e os distingue de problemas menos arriscados. As recomendações são classificadas com base no nível de risco.

Esse mecanismo de avaliação de risco considera fatores de risco importantes, como:

  • Exposição à Internet: se os recursos são acessíveis pela Internet
  • Sensibilidade de dados: a presença de dados confidenciais ou sensíveis
  • Movimento lateral: potencial para atores mal-intencionados se moverem entre recursos
  • Caminhos de ataque: se o problema de segurança faz parte de possíveis cenários de ataque

Noções básicas sobre a priorização de risco

O Microsoft Defender para Nuvem utiliza proativamente um mecanismo dinâmico que avalia os riscos em seu ambiente. Ele leva em conta o potencial de exploração e o potencial impacto nos negócios para sua organização. O mecanismo prioriza as recomendações de segurança com base nos fatores de risco de cada recurso. O contexto do ambiente, incluindo a configuração do recurso, as conexões de rede e a postura de segurança, determina esses fatores de risco.

Quando o Defender para Nuvem executa uma avaliação de risco de seus problemas de segurança, o mecanismo identifica os riscos de segurança mais significativos e os distingue de problemas menos arriscados. O mecanismo classifica as recomendações com base no nível de risco. Você pode resolver os problemas de segurança que representam ameaças imediatas com o maior potencial de serem explorados em seu ambiente.

Saiba mais sobre a priorização de risco.

Níveis de risco e cálculo

O Microsoft Defender para Nuvem usa um mecanismo de priorização de risco com reconhecimento de contexto para calcular o nível de risco de cada recomendação de segurança. O nível de risco vem dos fatores de risco de cada recurso, como sua configuração, conexões de rede e postura de segurança. O nível de risco é calculado com base no impacto potencial do problema de segurança, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte.

As recomendações são classificadas em cinco categorias com base no nível de risco:

  • Crítico: recomendações que exigem ação imediata devido ao impacto significativo potencial na postura de segurança da sua organização.
  • Alta: recomendações que indicam um possível risco de segurança que deve ser tratado em tempo hábil, mas que pode não exigir atenção imediata.
  • Médio: recomendações que indicam um problema de segurança relativamente pequeno que você pode resolver à sua conveniência.
  • Baixa: recomendações que indicam um problema de segurança relativamente pequeno que você pode resolver à sua conveniência.
  • Não avaliado: recomendações que ainda não foram avaliadas. Esse status pode ser devido ao recurso não ser coberto pelo plano do Defender CSPM, que é um pré-requisito para o nível de risco.

Detalhes do painel de recomendação

Na página de recomendações, você pode examinar os seguintes detalhes priorizados pelo risco:

  • Título: O título da recomendação.
  • Recurso afetado: o recurso ao qual a recomendação se aplica.
  • Nível de risco: a exploração e o impacto nos negócios da questão de segurança subjacente, levando em conta o contexto de recursos ambientais, como exposição à Internet, dados confidenciais, movimentação lateral e muito mais.
  • Fatores de risco: fatores ambientais do recurso afetado pela recomendação, que influenciam a exploração e o impacto nos negócios da questão de segurança subjacente.
  • Caminhos de ataque: o número de caminhos de ataque dos quais a recomendação faz parte com base na pesquisa do mecanismo de segurança para todos os caminhos de ataque potenciais.
  • Proprietário: a pessoa à qual a recomendação é atribuída.
  • Status: o status atual da recomendação (não atribuído, em dia, atrasado).
  • Insights: informações relacionadas à recomendação, como se ela estiver em versão prévia, se puderem ser negadas, se houver uma opção de correção disponível.

Classificação de recomendação

Todas as recomendações de segurança do Defender para Nuvem têm uma classificação de severidade.

Gravidade crítica

Resolva essas recomendações imediatamente. Recomendações críticas de severidade indicam uma vulnerabilidade de segurança urgente e altamente explorável que representa uma ameaça imediata ao seu ambiente.

Recomendações críticas de severidade exigem correção imediata. Eles destacam vulnerabilidades graves e facilmente exploráveis que podem permitir que maus atores obtenham acesso privilegiado, comprometam dados confidenciais ou se movam lateralmente em seu ambiente.

Exemplos de recomendações críticas de severidade incluem:

  • Exposição de segredos altamente confidenciais ou privilegiados que, se comprometidos, poderiam conceder acesso administrativo total entre sistemas.
  • Recursos expostos pela Internet que permitem acesso não autenticado a cargas de trabalho críticas, interfaces de gerenciamento ou armazenamentos de dados confidenciais.
  • Vulnerabilidades críticas do CVSS 9.0+ descobertas em computadores ou contêineres que permitem execução remota de código, escalonamento de privilégios ou tomada de controle total do sistema.
  • Configurações incorretas que permitem a movimentação lateral direta para ativos de alto valor, como controladores de domínio ou bancos de dados de produção.

Severidade alta

Recomendamos que você resolva essas recomendações imediatamente. Eles indicam que há uma vulnerabilidade de segurança crítica que um invasor pode explorar para obter acesso não autorizado aos seus sistemas ou dados.

Exemplos de recomendações de alta gravidade incluem:

  • Segredos desprotegidos em um computador.
  • Regras de grupo de segurança de rede de entrada excessivamente permissivas.
  • Clusters que permitem a implantação de imagens de registros não confiáveis.
  • Acesso público irrestrito a contas de armazenamento ou bancos de dados.

Severidade média

Essas recomendações indicam um risco potencial à segurança. Resolva essas recomendações em tempo hábil, mas elas podem não exigir atenção imediata.

Exemplos de recomendações de gravidade média incluem:

  • Contêineres que compartilham namespaces de host confidenciais.
  • Aplicativos Web que não usam identidades gerenciadas.
  • Computadores Linux que não exigem chaves SSH durante a autenticação.
  • Credenciais não usadas deixadas no sistema após 90 dias de inatividade.

Severidade baixa

Essas recomendações indicam um problema de segurança relativamente pequeno que você pode resolver à sua conveniência.

Exemplos de recomendações de baixa gravidade incluem:

  • O uso da autenticação local em vez do Microsoft Entra ID.
  • Problemas de integridade com sua solução de Endpoint Protection.
  • Os usuários não seguem as práticas recomendadas com grupos de segurança de rede.
  • Configurações de log configuradas incorretamente, o que pode dificultar a detecção e a resposta a incidentes de segurança.

As políticas internas de uma organização podem ser diferentes da classificação da Microsoft de uma recomendação específica. Sempre examine cuidadosamente cada recomendação e considere seu potencial efeito em sua postura de segurança antes de decidir como resolvê-la.

Observação

Os clientes do Defender CSPM têm acesso a um sistema de classificação mais avançado, em que as recomendações apresentam uma determinação de nível de risco que utiliza o contexto do recurso e todos os recursos relacionados. Para obter mais informações, consulte a priorização de risco e diretrizes detalhadas nas seções de priorização de risco acima.

Example

Neste exemplo, a página de detalhes da recomendação mostra 15 recursos afetados:

Captura de tela do botão Abrir consulta na página Detalhes da Recomendação.

Quando você abre e executa a consulta subjacente, o Azure Resource Graph Explorer retorna os mesmos recursos afetados para essa recomendação.

Conteúdo relacionado

Revise as recomendações de segurança

  • Last updated on