Partilhar via

Rever as recomendações de segurança

No Microsoft Defender for Cloud, os recursos e cargas de trabalho são avaliados em relação a políticas de segurança incorporadas e personalizadas e a quadros de conformidade regulatória, que aplica nos seus ambientes cloud (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e outros). Com base nessas avaliações, as recomendações de segurança fornecem passos práticos para remediar problemas de segurança e melhorar a sua postura de segurança.

O Defender for Cloud utiliza um motor dinâmico que avalia proativamente os riscos no seu ambiente. Considera o potencial de exploração e o potencial impacto empresarial na sua organização. O mecanismo prioriza recomendações de segurança com base nos fatores de risco de cada recurso. O contexto do ambiente determina estes fatores de risco.

Pré-requisitos

As recomendações estão incluídas com o Defender for Cloud, mas não consegue ver a priorização de risco a menos que ative o Defender CSPM no seu ambiente.

Rever a página de recomendações

Reveja as recomendações e certifique-se de que todos os detalhes estão corretos antes de resolvê-los.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

Observação

Esta capacidade está atualmente em pré-visualização. Para detalhes sobre lacunas e restrições atuais, consulte Limitações conhecidas.

A página de Recomendações dentro da Gestão de Exposições fornece uma lista prioritária de ações de segurança concebidas para melhorar a sua postura de segurança na cloud, abordando vulnerabilidades, configurações incorretas e segredos expostos. Estas recomendações são classificadas por risco eficaz, ajudando as equipas de segurança a focar-se primeiro nas ameaças mais críticas.

  1. Inicie sessão no portal Microsoft Defender.

  2. Vá ao separador de Gestão de Exposição>Recomendações>Cloud.

    Captura de ecrã da página de Recomendações no Defender Portal.

  3. Aplique filtros como:

    • Ativo exposto: Filtrar por ativos expostos a ameaças.
    • Fatores de risco de ativos: Filtrar por condições de risco específicas.
    • Ambiente: Filtrar por Azure, AWS ou GCP.
    • Carga de trabalho: Filtre por tipos específicos de carga de trabalho.
    • Maturidade da recomendação: Filtrar pelo nível de prontidão da recomendação.

  4. No lado esquerdo da página, pode optar por ver as recomendações por categoria de segurança:

    • Todas as recomendações: Lista completa de recomendações de segurança.
    • Configurações incorretas: Problemas de segurança relacionados com a configuração.
    • Vulnerabilidades: Vulnerabilidades de software que requerem correções.
    • Segredos Expostos: Credenciais e segredos que podem ser comprometidos.

    Observação

    Quando seleciona um filtro de categoria de segurança, tanto a lista de recomendações como os cartões de resumo atualizam-se para refletir apenas as recomendações dessa categoria.

Cartões resumo de recomendações

Para cada visualização, a página apresenta cartões resumo que fornecem uma visão geral rápida da sua postura de segurança na cloud:

  • Pontuação de segurança na nuvem: Mostra a saúde geral da sua segurança na cloud com base nas recomendações de segurança do seu ambiente.
  • Histórico de pontuação: Acompanha as alterações do seu Secure Score nos últimos sete dias, ajudando-o a identificar tendências e medir melhorias.
  • Recomendações por nível de risco: Resume o número de recomendações de segurança ativas, categorizadas por gravidade (Crítica, Alta, Média, Baixa).
  • Como o nível de risco é calculado: Explica como as classificações de severidade e os fatores de risco específicos de ativos são combinados para determinar o nível global de risco para cada recomendação.

Opiniões de recomendação

O portal Defender oferece duas formas distintas de visualizar e interagir com recomendações:

Recomendação por cada visualização de ativo

Esta vista apresenta uma lista de todas as recomendações organizadas por ativos individuais, ordenadas por nível de risco. Cada linha representa uma única recomendação que afeta um recurso específico.

Quando seleciona uma linha de recomendações, abre-se um painel lateral que mostra:

  • Visão geral: Informação geral sobre a recomendação, incluindo a sua descrição, detalhes do ativo exposto e outros detalhes relevantes da recomendação
  • Passos de remediação: Orientações acionáveis para resolver o problema de segurança
  • Pré-visualização do mapa: Mostra todos os caminhos de ataque relacionados que passam pelo ativo, agregados por tipo de nó alvo. É possível:
    • Selecione um caminho agregado para revelar todos os ataques associados e caminhos adicionais
    • Selecione um caminho específico para visualizar a sua visualização detalhada
  • Iniciativas relacionadas: Iniciativas de segurança e quadros de conformidade associados à recomendação
  • Podem surgir separadores adicionais para recomendações específicas com informação contextual relevante

Vista do título da recomendação

Esta vista agrega recomendações por título, mostrando uma lista consolidada ordenada por nível de risco. Cada linha representa todas as instâncias de uma recomendação específica no seu ambiente.

Quando seleciona uma linha agregada de recomendações, abre-se um painel lateral que mostra:

  • Visão geral: Informação geral, incluindo a descrição da recomendação, distribuição dos níveis de risco entre os recursos afetados, estado da governação e outros detalhes relevantes
  • Passos de remediação: Orientações acionáveis para resolver o problema de segurança
  • Ativos expostos: Lista de todos os recursos afetados por esta recomendação
  • Iniciativas relacionadas: Iniciativas de segurança e quadros de conformidade associados à recomendação
  • Poderão aparecer separadores adicionais para recomendações específicas com informação contextual relevante

Captura de ecrã do painel lateral de recomendações.

Caminhos alternativos de acesso às recomendações:

  • Infraestrutura de cloud>Visão geral>Postura de segurança>Recomendações de segurança>Ver recomendações
  • Gestão de Exposição>Iniciativas>Segurança na Nuvem>Abrir página da iniciativa>Aba de Recomendações de Segurança

Observação

Porque é que pode encontrar recursos diferentes entre o portal Azure e o portal Defender:

  • Recursos eliminados: Pode notar que os recursos eliminados ainda aparecem no portal Azure. Esta condição acontece porque o portal Azure mostra atualmente o último estado conhecido dos recursos. A equipa de produto está a trabalhar para corrigir esta condição para que os recursos eliminados deixem de aparecer.
  • Recursos Azure Policy: Alguns recursos provenientes do Azure Policy podem não aparecer no portal Defender. Durante a pré-visualização, o portal apenas mostra recursos que têm contexto de segurança e contribuem para insights significativos de segurança.
  • Os recursos ligados a subscrições gratuitas não aparecem atualmente no portal Defender.

Compreender a priorização de risco no portal Defender

A experiência de Gestão de Exposição no portal Defender oferece capacidades avançadas de priorização de riscos que ajudam as equipas de segurança a focar-se nas ameaças mais críticas. O motor dinâmico de avaliação de risco do Microsoft Defender for Cloud avalia os riscos no seu ambiente, considerando o potencial de exploração e o impacto potencial no negócio para a sua organização.

As recomendações no portal Defender são automaticamente priorizadas com base no risco eficaz, tendo em conta múltiplos fatores contextuais sobre cada recurso e o seu ambiente. Esta abordagem baseada no risco garante que as equipas de segurança possam abordar primeiro as questões de segurança mais críticas, tornando os esforços de remediação mais eficientes e eficazes.

Filtragem e priorização baseadas no risco

O portal Defender oferece capacidades avançadas de filtragem que lhe permitem focar-se em recomendações baseadas em fatores de risco:

  • Ativos expostos: Filtre por recursos que tenham exposição direta a ameaças, como recursos com acesso à internet ou recursos com configurações vulneráveis.
  • Fatores de risco de ativos: Foca-se em condições de risco específicas como sensibilidade de dados, potencial de movimento lateral ou exposição a infraestruturas críticas.
  • Distribuição dos níveis de risco: Consulte as recomendações categorizadas por níveis de risco Crítico, Alto, Médio e Baixo.
  • Integração de caminhos de ataque: Foque-se nas recomendações que fazem parte dos caminhos de ataque identificados.

Cálculo de risco na gestão de exposições

A experiência unificada de Gestão de Exposições calcula os níveis de risco utilizando um motor consciente do contexto que considera:

  • Contexto ambiental: Configuração de recursos, topologia da rede e postura de segurança.
  • Fatores de explorabilidade: Quão facilmente um atacante pode explorar a vulnerabilidade.
  • Impacto no negócio: As potenciais consequências se a questão de segurança fosse explorada.
  • Superfície de ataque: Exposição do recurso a potenciais ameaças.
  • Análise de pontos de estrangulamento: Se o recurso serve como uma junção crítica em potenciais caminhos de ataque.

Níveis de risco no portal Defender

O portal Defender classifica as recomendações em cinco níveis de risco:

  • Crítico: Os problemas de segurança mais graves, com explorabilidade imediata e grande impacto no negócio que exigem atenção urgente.
  • Elevado: Riscos de segurança significativos que devem ser tratados prontamente, mas que podem não exigir ação imediata
  • Médio: Problemas de segurança moderados que podem ser resolvidos como parte da manutenção regular de segurança
  • Baixo: Problemas de segurança menores que podem ser resolvidos quando for conveniente durante operações rotineiras
  • Não avaliado: Recomendações que não são avaliadas pelo risco, normalmente devido a limitações de cobertura de recursos.

Detalhes melhorados da recomendação

Cada recomendação no portal Defender fornece um contexto de risco abrangente:

  • Resumo da avaliação de risco: Cálculo global do risco e fatores contributivos.
  • Mapeamento da superfície de ataque: Representação visual de como o recurso se relaciona com potenciais cenários de ataque.
  • Correlação de iniciativas: Ligação a iniciativas de segurança mais amplas e quadros de conformidade.
  • Associações CVE: Ligações para Vulnerabilidades e Exposições Comuns relevantes, quando aplicável.
  • Contexto histórico: Tendências e alterações nos níveis de risco ao longo do tempo.

Na página de recomendação, analise os seguintes detalhes:

  • Nível de risco: A vulnerabilidade e o efeito empresarial do problema de segurança subjacente, considerando o contexto dos recursos ambientais como exposição à internet, dados sensíveis, movimentos laterais e mais.
  • Fatores de risco: Fatores ambientais do recurso afetado pela recomendação, que influenciam a vulnerabilidade e o efeito empresarial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados sensíveis e potencial de movimento lateral.
  • Recurso: O nome do recurso afetado.
  • Status: o status da recomendação, como não atribuída, dentro do prazo ou vencida.
  • Descrição: Uma breve descrição do problema de segurança.
  • Caminhos de ataque: O número de caminhos de ataque.
  • Âmbito: a assinatura ou recurso afetado.
  • Atualidade: O intervalo de atualização da recomendação.
  • Data da última alteração: a data em que esta recomendação foi alterada pela última vez.
  • Gravidade: A gravidade da recomendação: Alta, Média ou Baixa. Mais detalhes são fornecidos mais adiante neste artigo.
  • Proprietário: A pessoa designada para a recomendação.
  • Data de vencimento: a data de vencimento atribuída para resolver a recomendação.
  • Táticas e técnicas: As táticas e técnicas mapeadas para MITRE ATT&CK.

Explore uma recomendação

Você pode interagir com recomendações de várias maneiras. Se uma opção não estiver disponível, essa opção não é relevante para a recomendação.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Em Agir:

    • Remediar: Uma descrição dos passos manuais necessários para resolver o problema de segurança dos recursos afetados. Para obter recomendações com a opção Corrigir , você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.
    • Proprietário da recomendação e data de vencimento definida: se você habilitar uma regra de governança para a recomendação, poderá atribuir um proprietário e uma data de conclusão.
    • Isentar: você pode isentar recursos da recomendação ou desabilitar descobertas específicas usando regras de desabilitação.
    • Automação do fluxo de trabalho: defina um aplicativo lógico para ser acionado com a recomendação.

    Captura de ecrã que mostra o que pode ver na recomendação quando seleciona o separador Executar ação.

  5. Nos resultados, reveja os achados associados por gravidade.

    Imagem de ecrã que mostra a guia de descobertas numa recomendação, incluindo todos os trajetos de ataque para essa recomendação.

  6. No Graph, visualize e investigue todo o contexto utilizado para a priorização de risco, incluindo caminhos de ataque. Você pode selecionar um nó num caminho de ataque para visualizar os detalhes do nó selecionado.

    Captura de tela que mostra a guia Gráfico em uma recomendação, incluindo todos os caminhos de ataque para essa recomendação.

  7. Para ver mais detalhes, selecione um nó.

    Captura de ecrã que exibe a aba Gráfico com um nó selecionado, mostrando detalhes adicionais.

  8. Selecione Insights.

  9. Para ver os detalhes, selecione uma vulnerabilidade no menu suspenso.

    Captura de ecrã do separador Informações de um nó.

  10. (Opcional) Para visualizar a página de recomendação associada, selecione Abrir a página de vulnerabilidade.

  11. Remediar a recomendação.

No portal Defender, pode interagir com recomendações de várias formas através da experiência de Gestão de Exposição. Depois de selecionar uma recomendação no separador Gestão de Exposição>Recomendações>Cloud, pode explorar informações detalhadas e agir.

Aplique filtros e conjuntos de filtros como Ativo exposto, Fatores de risco do ativo, Ambiente, Carga de trabalho, Maturidade de recomendação, entre outros.

No painel de navegação à esquerda, pode optar por ver todas as recomendações ou por uma categoria específica.

Existem opiniões separadas para os tipos de questão:

  • Configurações incorretas
  • Vulnerabilidades
  • Segredos Expostos

Para cada visualização, vê o Cloud Secure Score, o histórico de pontuação, a Recomendação por nível de risco e como o risco é calculado.

Observação

No portal Defender, algumas recomendações que antes apareciam como um único item agregado agora aparecem como múltiplas recomendações individuais. Esta alteração reflete uma mudança de agrupar os resultados relacionados sob uma única recomendação para listar cada recomendação separadamente.

  • Podes ver uma lista de recomendações mais longa do que antes. As conclusões combinadas (como vulnerabilidades, segredos expostos ou configurações incorretas) aparecem agora como recomendações individuais em vez de encaixadas sob uma recomendação parental.
  • As antigas recomendações agrupadas ainda aparecem lado a lado com o novo formato por agora, mas acabam por ser obsoletas.
  • Estas recomendações estão marcadas como Pré-visualização. Esta etiqueta indica que a recomendação está num estado inicial e ainda não afeta o Secure Score.
  • O Secure Score aplica-se atualmente apenas à recomendação dos pais, não a cada item individual.

Se vir ambos os formatos ou recomendações com uma etiqueta de Pré-visualização, esta condição é esperada durante a transição. O objetivo é melhorar a clareza e permitir-lhe agir de acordo com recomendações específicas com mais facilidade.

Ao integrar o Defender for Cloud no portal Defender, também pode aceder a recomendações de cloud melhoradas através da interface unificada.

As principais melhorias na experiência de recomendações cloud incluem:

  • Fatores de risco por ativo: Avalie o contexto mais amplo de exposição de cada recomendação para tomar decisões informadas.
  • Pontuação baseada no risco: Nova pontuação que pondera as recomendações com base na gravidade, contexto do ativo e impacto potencial.
  • Dados melhorados: Dados essenciais de recomendações do Azure Recommendations enriquecidos com campos e capacidades adicionais da Gestão de Exposição.
  • Priorizado pela criticidade: Maior ênfase em questões críticas que representam o maior risco para a sua organização.

A experiência unificada garante que as recomendações de segurança na cloud são contextualizadas no panorama mais amplo da segurança, permitindo uma tomada de decisão mais informada e fluxos de trabalho de remediação eficientes.

Recomendações do grupo por título

Pode agrupar as recomendações por título usando a página de recomendações Defender for Cloud. Esse recurso é útil quando você deseja corrigir uma recomendação que afeta vários recursos devido a um problema de segurança específico.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Grupo por título.

    Captura de ecrã da página de recomendações que mostra a localização do grupo por título.

Gerir as recomendações que lhe foram atribuídas

O Defender for Cloud suporta regras de governança para recomendações. Você pode atribuir um proprietário de recomendação ou uma data de vencimento. Você pode ajudar a garantir a responsabilidade usando regras de governança, que também oferecem suporte a um contrato de nível de serviço (SLA) para recomendações.

  • As recomendações aparecem como No prazo até que a data de vencimento passe. Em seguida, eles mudam para Overdue.
  • Quando uma recomendação não é classificada como Atrasada, isso não afeta seu Microsoft Secure Score.
  • Você também pode aplicar um período de carência para que as recomendações em atraso não afetem sua Pontuação Segura.

Saiba mais sobre como configurar regras de governança.

Para ver todas as recomendações que lhe foram atribuídas:

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Adicionar filtro>Proprietário.

  4. Selecione sua entrada de usuário.

  5. Selecione Aplicar.

  6. Nos resultados da recomendação, revise as recomendações, incluindo recursos afetados, fatores de risco, caminhos de ataque, datas de vencimento e status.

  7. Selecione uma recomendação para analisá-la ainda mais.

Para fazer alterações em uma atribuição, conclua as seguintes etapas:

  1. Vá para Agir>Alterar proprietário ou data de vencimento.

  2. Selecione Editar atribuição para alterar o responsável pela recomendação ou a data de vencimento.

  3. Se você selecionar uma nova data de correção, especifique por que a correção deve ser concluída até essa data em Justificação.   

  4. Selecione Guardar.

    Observação

    Quando você altera a data de conclusão esperada, a data de conclusão da recomendação não é alterada, mas os parceiros de segurança podem ver que você planeja atualizar os recursos até a data especificada.

Por padrão, o proprietário do recurso recebe um e-mail semanal que mostra todas as recomendações atribuídas a ele.

Use a opção Definir notificações por email para:

  • Substitua o e-mail semanal padrão do proprietário.
  • Notifique os proprietários semanalmente com uma lista de tarefas abertas ou em atraso.
  • Notifique o gerente direto do proprietário com uma lista de tarefas aberta.

Rever recomendações no Azure Resource Graph

Você pode usar o Azure Resource Graph para escrever uma consulta KQL (Kusto Query Language) para consultar dados de postura de segurança do Defender for Cloud em várias assinaturas. Ao usar o Azure Resource Graph, pode consultar eficientemente em larga escala em ambientes cloud, visualizando, filtrando, agrupando e ordenando dados.

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Selecione Abrir consulta.

  5. Você pode abrir a consulta de duas maneiras:

    • Consulta que retorna recurso afetado: retorna uma lista de todos os recursos afetados pela recomendação.
    • Consulta que retorna descobertas de segurança: retorna uma lista de todos os problemas de segurança encontrados pela recomendação.

  6. Selecione Executar consulta.

    Captura de ecrã do Azure Resource Graph Explorer que mostra os resultados da recomendação da captura de ecrã anterior.

  7. Analise os resultados.

Conteúdo relacionado

  • Last updated on