Compartilhar via


Suporte e pré-requisitos para gerenciamento de postura de segurança de dados

Examine os requisitos nesta página antes de configurar Gerenciamento de postura de segurança de dados no Microsoft Defender para Nuvem.

Habilitar a descoberta de dados confidenciais

A descoberta de dados confidenciais está disponível nos planos GPSN do Defender, Defender para Armazenamento e Defender para Bancos de Dados.

  • Quando você habilita um dos planos, a extensão de descoberta de dados confidenciais é ativada como parte do plano.
  • Se você tiver planos existentes em execução, a extensão estará disponível, mas desativada por padrão.
  • Os status de plano existentes são exibidos como "Parcial" em vez de "Completo" se uma ou mais extensões não estiverem ativadas.
  • O recurso está ativado no nível da assinatura.
  • Se a descoberta de dados confidenciais estiver ativada, mas o GPSN do Defender não estiver habilitado, somente os recursos de armazenamento serão verificados.
  • Se uma assinatura estiver habilitada com o GPSN do Defender e, em paralelo, você tiver verificado os mesmos recursos com o Purview, o resultado da verificação do Purview será ignorado e o padrão será exibir os resultados de verificação do Microsoft Defender para Nuvem para o tipo de recurso com suporte.

O que tem suporte

A tabela resume a disponibilidade e os cenários com suporte para descoberta de dados confidenciais.

Suporte Detalhes
Quais recursos de dados do Azure posso verificar? Armazenamento de objetos:

Bloquear contas de armazenamento de blobs no Armazenamento do Azure v1/v2

Arquivos do Azure no Armazenamento do Microsoft Azure v1/v2. Suportado apenas com o protocolo SMB

Azure Data Lake Storage Gen2

Há suporte para contas de armazenamento por trás de redes privadas.

Há suporte para contas de armazenamento criptografadas com uma chave do lado do servidor gerenciada pelo cliente.

Não haverá suporte para contas se um ponto de extremidade da conta de armazenamento tiver um domínio personalizado mapeado para ele.

Pré-requisitos e limitações:
- Para escanear compartilhamentos de arquivos, o Defender para Nuvem atribui a função Storage File Data Privileged Reader ao StorageDataScanner.


Bancos de dados

Banco de Dados SQL do Azure

Banco de Dados SQL do Azure criptografado com Transparent data encryption
Quais recursos de dados da AWS posso examinar? Armazenamento de objetos:

Buckets do AWS S3

O Defender para Nuvem pode verificar dados criptografados, mas não dados criptografados com uma chave gerenciada pelo cliente.

Bancos de dados

– Amazon Aurora
– Amazon RDS para PostgreSQL
– Amazon RDS para MySQL
– Amazon RDS para MariaDB
- Amazon RDS para SQL Server (não personalizado)
- Amazon RDS for Oracle Database (não personalizado, somente edição SE2)

Pré-requisitos e limitações:
– Os backups automatizados precisam ser habilitados.
– A função IAM criada para fins de verificação (DefenderForCloud-DataSecurityPostureDB por padrão) precisa ter permissões para a chave KMS usada para a criptografia da instância do RDS.
- Você não pode compartilhar um instantâneo de BD que usa um grupo de opções com opções permanentes ou persistentes, exceto para instâncias do Oracle DB que têm a opção de Fuso horário ou OLS (ou ambas). Saiba mais
Quais são os recursos de dados do GCP? Buckets de armazenamento do GCP
Classe Standard
Área geográfica: região, região dupla, várias regiões
Quais permissões preciso para a verificação? Conta de armazenamento: Proprietário da Assinatura
or
Microsoft.Authorization/roleAssignments/* (leitura, gravação, exclusão) e Microsoft.Security/pricings/* (leitura, gravação, exclusão) e Microsoft.Security/pricings/SecurityOperators (leitura, gravação)

Buckets do Amazon S3 e instâncias RDS: permissão da conta AWS para executar a Formação de Nuvem (para criar uma função).

Buckets de armazenamento do GCP: permissão da conta do Google para executar o script (para criar uma função).
Quais tipos de arquivo dão suporte à descoberta de dados confidenciais? Tipos de arquivo suportados (você não pode selecionar um subconjunto): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Quais regiões do Azure são compatíveis? Você pode descobrir contas de armazenamento do Azure em:

Leste da Ásia; Sudeste da Ásia; Austrália Central; Austrália Central 2; Leste da Austrália; Sudeste da Austrália; Sul do Brasil; Sudeste do Brasil; Canadá Central; Leste do Canadá; Norte da Europa; Oeste da Europa; França Central; Sul da França; Norte da Alemanha; Centro-Oeste da Alemanha; Índia Central; Sul da Índia; Leste do Japão; Oeste do Japão; Oeste da Índia JIO; Coreia Central; Sul da Coreia; Leste da Noruega; Oeste da Noruega; Norte da África do Sul; Oeste da África do Sul; Suécia Central; Norte da Suíça; Oeste da Suíça; Norte dos EAU; Sul do Reino Unido; Oeste do Reino Unido; EUA Central; Leste dos EUA; Leste dos EUA 2; Centro-Norte dos EUA; Centro-Sul dos EUA; Oeste dos EUA; Oeste dos EUA 2; Oeste dos EUA 3; Centro-Oeste dos EUA;

Você pode descobrir os Bancos de Dados SQL do Azure em qualquer região em que haja suporte para o GPSN do Defender e os Bancos de Dados SQL do Azure.
Quais regiões da AWS têm suporte? S3:

Pacífico Asiático (Mumbai); Pacífico Asiático (Cingapura); Pacífico Asiático (Sydney); Pacífico Asiático (Tóquio); Canadá (Montreal); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estolcomo), América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (N. Virgínia); Oeste dos EUA (N. Califórnia); Oeste dos EUA (Oregon).


RDS:

África (Cidade do Cabo); Ásia-Pacífico (RAE de Hong Kong); Ásia-Pacífico (Hyderabad); Ásia-Pacífico (Melbourne); Ásia-Pacífico (Mumbai); Ásia-Pacífico (Osaka); Ásia-Pacífico (Seul); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Central); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); Europa (Zurique); Médio Oriente (Emirados Árabes Unidos); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon).

A descoberta é feita localmente na região.
Quais regiões do GCP têm suporte? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
É necessário instalar um agente? Não, a descoberta não requer instalação de agente.
Qual é o custo? O recurso está incluído nos planos GPSN do Defender e do Defender para Armazenamento e não inclui custos adicionais, exceto os respectivos custos de plano.
Quais permissões preciso para exibir ou editar configurações de confidencialidade de dados? Você precisa de uma destas funções do Microsoft Entra:
  • Administrador de Dados de Conformidade, Administrador de Conformidade ou superior
  • Operador de Segurança, Administrador de Segurança ou superior
  • Quais permissões são necessárias para executar a integração? Você precisa de uma destas funções de RBAC (controle de acesso baseado em função) do Azure: administrador de segurança, colaborador, proprietário no nível da assinatura (onde residem os projetos do GCP). Para consumir as descobertas de segurança: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador, Proprietário no nível da assinatura (onde residem os projetos do GCP).

    Definir as configurações de confidencialidade de dados

    As etapas principais para definir as configurações de confidencialidade de dados incluem:

    Saiba mais sobre rótulos de confidencialidade no Microsoft Purview.

    Descoberta

    O Defender para Nuvem começa a descobrir e verificar dados imediatamente após habilitar um plano ou depois de ativar o recurso em planos que já estão em execução.

    Para armazenamento de objetos:

    • Leva até 24 horas para ver os resultados de uma primeira verificação.
    • Depois que os arquivos são atualizados nos recursos verificados, os dados são atualizados dentro de oito dias.
    • Uma nova conta de armazenamento do Azure adicionada a uma assinatura já digitalizada é verificada dentro de 24 horas ou menos.
    • Um novo bucket S3 da AWS ou um bucket de armazenamento do GCP, adicionado a uma conta da AWS ou do Google já descoberta, será descoberto em 48 horas ou menos.
    • A descoberta de dados confidenciais para armazenamento é realizada localmente em sua região. Isso garante que seus dados não saiam da sua região. Somente metadados de recursos, como arquivos, blobs, nomes de buckets, rótulos de confidencialidade detectados e os nomes de SITs (Tipos de Informações Confidenciais) identificados, são transferidos para o Defender para Nuvem.

    Para bancos de dados:

    • Os bancos de dados são verificados semanalmente.
    • Para assinaturas recentemente habilitadas, os resultados aparecem em 24 horas.

    Cloud Security Explorer

    Exibimos todos os tipos de armazenamento, incluindo Contas de Armazenamento do Azure, Buckets AWS e Buckets GCP, independentemente de seus insights associados. Para Contas de Armazenamento do Azure, que incluem Contêineres de Blob e Compartilhamentos de Arquivos, aplicam-se as seguintes regras:

    • Os Contêineres de Blob são exibidos se atenderem a qualquer um dos seguintes critérios:

      • Eles têm o insight Contém Dados Confidenciais.

      • Eles têm o insight Acesso Público.

      • Eles têm uma regra de replicação para ou de outro blob.

    • Compartilhamentos de Arquivos são exibidos apenas se tiverem o insight “Contém Dados Confidenciais”.

    Descobrir e verificar contas de armazenamento do Azure

    Para verificar contas de armazenamento do Azure, o Microsoft Defender para Nuvem cria um novo storageDataScanner recurso e atribui a ele a função Leitor de Dados do Blob de Armazenamento. Essa função concede as seguintes permissões:

    • Lista
    • Ler

    Para contas de armazenamento por trás de redes privadas, incluímos o StorageDataScanner na lista de instâncias de recursos permitidas na configuração de regras de rede da conta de armazenamento.

    Descobrir e verificar buckets da AWS S3

    Para proteger os recursos da AWS no Defender para Nuvem, configure um conector AWS usando um modelo CloudFormation para integrar a conta da AWS.

    • Para descobrir os recursos de dados da AWS, o Defender para Nuvem atualiza o modelo CloudFormation.
    • O modelo CloudFormation cria uma nova função no AWS IAM, para permitir que o verificador do Defender para Nuvem acesse dados nos buckets S3.
    • Para conectar contas AWS, você precisa de permissões de administrador na conta.
    • A função dá suporte a essas permissões: somente leitura S3; descriptografar KMS.

    Descobrir e verificar instâncias da AWS RDS

    Para proteger os recursos da AWS no Defender para Nuvem, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.

    • Para descobrir instâncias de RDS da AWS, o Defender para Nuvem atualiza o modelo do CloudFormation.
    • O modelo CloudFormation cria uma nova função no IAM da AWS, para permitir que o verificador do Defender para Nuvem obtenha o último instantâneo automatizado disponível da instância e coloque-a on-line em um ambiente de verificação isolado na mesma região da AWS.
    • Para conectar contas AWS, você precisa de permissões de administrador na conta.
    • Os instantâneos automatizados precisam ser habilitados nas Instâncias/Clusters de RDS relevantes.
    • A função concede estas permissões (confira o modelo do CloudFormation para ver as definições exatas):
      • Listar todos os BDs/clusters do RDS
      • Copiar todos os instantâneos de BD/cluster
      • Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases
      • Listar todas as chaves KMS
      • Usar todas as chaves KMS somente para RDS na conta de origem
      • Criação e controle total de todas as chaves KMS com o prefixo de marcação DefenderForDatabases
      • Criar alias para chaves KMS
    • As chaves KMS são criadas uma vez para cada região que contém instâncias de RDS. A criação de uma chave KMS pode incorrer em um custo extra mínimo, de acordo com os preços do KMS da AWS.

    Descobrir e verificar buckets de armazenamento do GCP

    Para proteger os recursos do GCP no Defender para Nuvem, você pode configurar um conector do Google usando um modelo de script para integrar a conta do GCP.

    • Para descobrir buckets de armazenamento do GCP, o Defender para Nuvem atualiza o modelo de script.
    • O modelo de script cria uma nova função na conta do Google para dar permissão ao verificador do Defender para Nuvem para acessar os dados nos buckets de armazenamento do GCP.
    • Para conectar contas do Google, você precisa de permissões de administrador na conta.

    Exposto à Internet/permite o acesso público

    Os caminhos de ataque e insights de grafo de segurança de nuvem do GPSN do Defender incluem informações sobre recursos de armazenamento expostos à Internet e permitem acesso público. A tabela a seguir fornece mais detalhes.

    State Contas de Armazenamento do Azure Buckets do AWS S3 Buckets de Armazenamento do GCP
    Exposto à Internet Uma conta de armazenamento do Azure será considerada exposta à Internet se uma dessas configurações estiver habilitada:

    Storage_account_name>Rede>Acesso à rede pública>Habilitado de todas as redes

    ou

    Storage_account_name >Rede>Acesso à rede pública>Habilitado de redes virtuais e endereços IP selecionados.
    Um bucket do AWS S3 será considerado exposto à Internet se as políticas de bucket da conta AWS/AWS S3 não tiverem uma condição definida para endereços IP. Todos os buckets de armazenamento do GCP são expostos à Internet por padrão.
    Permite o acesso público Um contêiner de conta de armazenamento do Azure é considerado como permitindo o acesso público se essas configurações estiverem habilitadas na conta de armazenamento:

    Storage_account_name >Configuração>Permitir acesso anônimo de blob>Habilitado.

    e qualquer uma dessas configurações:

    Storage_account_name >Contêineres> container_name >Nível de acesso público definido como Blob (acesso de leitura anônimo apenas para blobs)

    Ou Storage_account_name >Contêineres> container_name >Nível de acesso público definido como Contêiner (acesso de leitura anônimo para contêineres e blobs).
    Considera-se que um bucket do AWS S3 permita o acesso público se a conta AWS e o bucket do AWS S3 tiverem Bloquear todo o acesso público definido como Desativado e qualquer uma dessas configurações estiver definida:

    Na política, RestrictPublicBuckets não está habilitada e a configuração Principal está definida como * e Efeito está definido como Permitir.

    Ou, na lista de controle de acesso, IgnorePublicAcl não está habilitado e a permissão é dada para Todos ou para Usuários autenticados.
    Um bucket de armazenamento do GCP é considerado como permitindo acesso público se: ele tem uma função de IAM (Gerenciamento de Identidades e Acesso) que atenda a estes critérios:

    A função é concedida aos allUsers ou allAuthenticatedUsers principais.

    A função tem pelo menos uma permissão de armazenamento que não é storage.buckets.create ou storage.buckets.list. O acesso público no GCP é chamado de Público para a Internet.

    Os recursos de banco de dados não permitem acesso público, mas ainda podem estar expostos à Internet.

    Os insights de exposição na Internet estão disponíveis para os seguintes recursos:

    Azure:

    • Azure SQL server
    • Azure Cosmos DB
    • Instância Gerenciada do Azure SQL
    • Servidor Único do MySQL do Azure
    • Servidor Flexível do MySQL do Azure
    • Servidor Único do PostgreSQL do Azure
    • Servidor Flexível do PostgreSQL do Azure
    • Servidor Único do MariaDB do Azure
    • Workspace do Synapse

    AWS:

    • Instância RDS

    Observação

    • As regras de exposição que incluem 0.0.0.0/0 são consideradas "excessivamente expostas", o que significa que podem ser acessadas de qualquer IP público.
    • Os recursos do Azure com a regra de exposição "0.0.0.0" são acessíveis a partir de qualquer recurso no Azure (independentemente do locatário ou da assinatura).

    Habilitar o gerenciamento de postura de segurança de dados.