Compartilhar via


GPSN (gerenciamento da postura de segurança na nuvem)

Um dos principais pilares do Microsoft Defender para Nuvem é o gerenciamento da postura de segurança na nuvem (GPSN). O CSPM fornece visibilidade detalhada do estado de segurança de seus ativos e cargas de trabalho, além de fornecer diretrizes de proteção para ajudá-lo a melhorar sua postura de segurança de forma eficiente e eficaz.

O Defender para Nuvem avalia continuamente seus recursos em relação aos padrões de segurança definidos para suas assinaturas do Azure, contas do AWS e projetos GCP. Com base nessas avaliações, O Defender para Nuvem emite recomendações de segurança.

Por padrão, quando você habilita a Microsoft Defender para Nuvem em uma assinatura do Azure, o padrão de conformidade do Microsoft Cloud Security Benchmark (MCSB) é ativado. Ele fornece recomendações. O Defender para Nuvem fornece uma pontuação de segurança agregada com base em algumas das recomendações do MCSB. Quanto maior a pontuação, menor o nível de risco identificado.

Recursos do GPSN

O Defender para Nuvem fornece as seguintes ofertas do GPSN:

  • GPSN Fundamental: o Defender para Nuvem oferece recursos básicos do GPSN multinuvem gratuitamente. Esses recursos são habilitados automaticamente por padrão em assinaturas ou conta que passar a fazer parte do Defender para Nuvem.

  • Plano de Gerenciamento da Postura de Segurança na Nuvem (GPSN) do Defender: o plano opcional e pago do Defender para Gerenciamento de Postura de Segurança na Nuvem amplia as funcionalidades de segurança, oferecendo recursos mais sofisticados.

Disponibilidade do plano

Saiba mais sobre os preços do GPSN do Defender.

A tabela a seguir resume cada plano e sua disponibilidade na nuvem.

Recurso GPSN fundamental GPSN do Defender Disponibilidade da nuvem
Recomendações de segurança Azure, AWS, GCP, local
Inventário de ativos Azure, AWS, GCP, local
Pontuação segura Azure, AWS, GCP, local
Visualização de dados e relatórios com as Pastas de Trabalho do Azure Azure, AWS, GCP, local
Exportação de dados Azure, AWS, GCP, local
Automação do fluxo de trabalho Azure, AWS, GCP, local
Ferramentas para correção Azure, AWS, GCP, local
Parâmetro de comparação do Microsoft Cloud Security Azure, AWS, GCP
Gerenciamento da postura de segurança de IA - Azure, AWS
Verificação de vulnerabilidade de VM sem agente - Azure, AWS, GCP
Verificação de segredos de VM sem agente - Azure, AWS, GCP
Análise do caminho de ataque - Azure, AWS, GCP
Priorização de riscos - Azure, AWS, GCP
Busca de risco com o gerenciador de segurança - Azure, AWS, GCP
Mapeamento de código para nuvem em contêineres - GitHub, Azure DevOps
Mapeamento de código para nuvem para IaC - Azure DevOps
Anotações de PR - GitHub, Azure DevOps
Análise de exposição à Internet - Azure, AWS, GCP
Gerenciamento da superfície de ataque externo - Azure, AWS, GCP
CIEM (Gerenciamento de permissões) - Azure, AWS, GCP
Avaliações de conformidade regulatória - Azure, AWS, GCP
Integração do ServiceNow - Azure, AWS, GCP
Proteção de ativos críticos - Azure, AWS, GCP
Governança para gerar a correção em escala - Azure, AWS, GCP
Gerenciamento da Postura de Segurança de Dados (DSPM), Verificação de Dados Confidenciais - Azure, AWS, GCP1
Descoberta sem agente para o Kubernetes - Azure, AWS, GCP
Avaliação de vulnerabilidade de contêineres de código para nuvem sem agente - Azure, AWS, GCP

1: a descoberta de dados confidenciais do GCP é compatível somente com o Armazenamento em Nuvem.

Observação

A partir de 7 de março de 72024, será necessário habilitar o GPSN do Defender para acessar as funcionalidades premium de segurança do DevOps, que incluem a contextualização de código para nuvem, alimentando o gerenciador de segurança, caminhos de ataque e anotações de pull request para descobertas de segurança em infraestrutura como código. Confira o suporte e pré-requisitos de segurança do DevOps para saber mais.

Integrações

O Microsoft Defender para Nuvem agora oferece integrações internas para ajudá-lo a usar sistemas de terceiros para gerenciar e acompanhar diretamente tíquetes, eventos e interações do cliente. Você pode enviar recomendações por push para uma ferramenta de tíquete de terceiros e atribuir responsabilidades a uma equipe para correção.

A integração simplifica o processo de resposta a incidentes e melhora sua capacidade de gerenciar incidentes de segurança. Você pode acompanhar, priorizar e resolver incidentes de segurança com mais eficiência.

Você pode escolher qual sistema de tíquetes deseja integrar. No momento, apenas a integração com o ServiceNow possui suporte durante a versão prévia. Para obter mais informações sobre como configurar a integração do ServiceNow, confira Integrar o ServiceNow ao Microsoft Defender para Nuvem (versão prévia).

Preços do plano

  • Confira a página de preços do Defender para Nuvem para saber mais sobre os preços do GPSN do Defender.

  • A partir de 7 de março de 2024, os recursos avançados de postura de segurança do DevOps só estarão disponíveis por meio do plano pago do GPSN do Defender. O gerenciamento gratuito da postura de segurança básica no Defender para Nuvem continuará fornecendo diversas recomendações para o Azure DevOps. Saiba mais sobre os Recursos de segurança do DevOps.

  • Para assinaturas que usam os planos GPSN do Defender e Defender para Contêineres, a avaliação de vulnerabilidade gratuita é calculada com base nas verificações de imagem gratuitas fornecidas por meio do plano Defender para Contêineres, conforme resumido na página de preços do Microsoft Defender para Nuvem.

  • O GPSN do Defender protege todas as cargas de trabalho multinuvem, mas a cobrança incide somente sobre recursos específicos. As tabelas a seguir indicam os recursos que geram custos quando o GPSN do Defender é habilitado em assinaturas do Azure, contas AWS ou projetos GCP.

    Serviço do Azure Tipos de recurso Exclusões
    Computação Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    – VMs desalocadas
    – VMs do Databricks
    Armazenamento Microsoft.Storage/storageAccounts Contas de armazenamento sem contêineres de blob ou compartilhamentos de arquivos
    BDs Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    Serviço AWS Tipos de recurso Exclusões
    Computação Instâncias EC2 VMs desalocadas
    Armazenamento Buckets S3 ---
    BDs Instâncias RDS ---
    Serviço GCP Tipos de recurso Exclusões
    Computação 1. Instâncias do Google Compute
    2. Grupo de Instâncias do Google
    Instâncias em estados inativos
    Armazenamento Buckets de Armazenamento — Buckets de classes: 'nearline', 'coldline', 'archive'
    — Buckets fora das regiões: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    BDs Instâncias do Cloud SQL ---

Suporte para nuvens do Azure

Para informações sobre cobertura em nuvens comerciais e nacionais, confira as funcionalidades com suporte em ambientes de nuvem do Azure.

Suporte para tipo de recurso no AWS e GCP

Para obter suporte multinuvem de tipos de recursos (ou serviços) em nossa camada de CSPM de várias nuvens fundamentais, consulte a tabela de recursos e tipos de serviço multinuvem para AWS e GCP.

Próximas etapas