Compartilhar via


Segurança de dados do Microsoft Defender para Nuvem

Para ajudar os clientes a evitarem, detectarem e responderem às ameaças, o Microsoft Defender para Nuvem coleta e processa dados relacionados à segurança, incluindo informações da configuração, metadados, logs de eventos e mais. A Microsoft obedece às diretrizes rígidas de conformidade e segurança — da codificação à operação de um serviço.

Este artigo explica como os dados são gerenciados e protegidos no Microsoft Defender para Nuvem.

Fontes de dados

O Defender para Nuvem analisa os dados das seguintes fontes para fornecer visibilidade sobre o estado da segurança, identificar as vulnerabilidades e recomendar mitigações e detectar as ameaças ativas:

  • Serviços do Azure: usa as informações sobre a configuração dos serviços do Azure que você implantou comunicando-se com o provedor de recursos do serviço.
  • Tráfego de rede: usa os metadados do tráfego da rede de exemplo na infraestrutura da Microsoft, como IP/porta de origem/detino, tamanho do pacote e protocolo da rede.
  • Soluções de parceiros: usa alertas de segurança das soluções de parceiros integradas, como firewalls e soluções antimalware.
  • Seus computadores: usam as informações e detalhes da configuração sobre eventos de segurança, como o evento e logs de auditoria do Windows e mensagens do syslog de seus computadores.

Compartilhamento de dados

Quando você habilita a verificação de malware do Defender para Armazenamento, ele pode compartilhar metadados, incluindo metadados classificados como dados do cliente (por exemplo, hash SHA-256), com o Microsoft Defender para Ponto de Extremidade.

O Microsoft Defender para Nuvem que executa o plano de CSPM (gerenciamento da postura de segurança na nuvem) do Defender para Nuvem compartilha dados integrados às recomendações do Gerenciamento de Exposição à Segurança da Microsoft.

Observação

O Gerenciamento de Exposição à Segurança da Microsoft está atualmente em versão prévia pública.

Proteção de dados

Segregação de dados

os dados são mantidos separados logicamente em cada componente em todo o serviço. Todos os dados são marcados por organização. Essa marcação persiste em todo o ciclo de vida dos dados e é imposta em cada camada do serviço.

Acesso de dados

Para fornecer recomendações de segurança e investigar potenciais ameaças à segurança, a equipe da Microsoft pode acessar informações coletadas ou analisadas pelos serviços do Azure, incluindo eventos de criação de processos e outros artefatos, que podem incluir involuntariamente dados de clientes ou dados pessoais dos seus computadores.

Aderimos ao Adendo de Proteção de Dados do Microsoft Online Services, que declara que a Microsoft não usará os dados dos clientes nem derivará informações deles para fins de publicidade ou fins comerciais semelhantes. Somente usamos os Dados do Cliente conforme o necessário para fornecer os serviços do Azure, inclusive para fins compatíveis com o fornecimento desses serviços. Você mantém todos os direitos dos Dados do Cliente.

Uso de dados

a Microsoft usa os padrões e a inteligência de ameaças vistos em vários locatários para aprimorar os recursos de detecção e prevenção. Fazemos isso de acordo com os compromissos de privacidade descritos em nossa Política de Privacidade.

Gerenciar a coleta de dados dos computadores

Quando você habilitar o Defender para Nuvem, a coleta de dados é ativada em cada uma de suas assinaturas do Azure. Você também pode habilitar a coleta de dados para suas assinaturas no Defender para Nuvem. Quando a coleta de dados é habilitada, o Defender para Nuvem provisiona o agente do Log Analytics em todas as máquinas virtuais do Azure existentes com suporte e nas que são criadas.

O agente do Log Analytics examina várias configurações e eventos relacionados à segurança nos rastreamentos ETW (Rastreamento de Eventos para Windows). Além disso, o sistema operacional gera eventos de log dos eventos durante a execução do computador. Exemplos desses dados são: tipo e versão do sistema operacional, logs do sistema operacional (logs de eventos do Windows), processos em execução, nome do computador, endereços IP, usuário registrado e ID do locatário. O agente di Log Analytics lê as entradas do registro de eventos e os vestígios de ETW e os copia para seus workspaces para análise. O agente do Log Analytics também permite eventos de criação de processos e auditoria de linha de comando.

Se você não estiver usando os recursos de segurança aprimorados do Microsoft Defender para Nuvem, também poderá desabilitar a coleta de dados de máquinas virtuais na Política de Segurança. A coleta de dados é necessária para as assinaturas protegidas por recursos de segurança aprimorados. Os instantâneos de disco da VM e a coleção de artefatos ainda serão habilitados mesmo que a coleta de dados tenha sido desabilitada.

Você pode especificar o workspace e a região em que os dados coletados dos seus computadores são armazenados. O padrão é armazenar os dados coletados de seus computadores no workspace mais próximo, conforme mostrado na seguinte tabela:

Replicação geográfica de VM Replicação Geográfica do Workspace
Estados Unidos, Brasil, África do Sul Estados Unidos
Canada Canada
Europa (excluindo Reino Unido) Europa
United Kingdom United Kingdom
Ásia (excluindo Índia, Japão, Coreia, China) Pacífico Asiático
Coreia do Sul Pacífico Asiático
Índia Índia
Japão Japão
China China
Austrália Austrália

Observação

O Microsoft Defender para Armazenamento armazena artefatos regionalmente de acordo com a localização do recurso do Azure relacionado. Saiba mais em Visão geral do Microsoft Defender para Armazenamento.

Consumo de dados

Os clientes podem acessar os dados relacionados ao Defender para Nuvem dos seguintes fluxos de dados:

STREAM Tipos de dados
Log de Atividades do Azure Todos os alertas de segurança, solicitações de acesso just-in-time just-in-time aprovadas do Defender para Nuvem.
Logs do Azure Monitor Todos os alertas de segurança.
Gráfico de Recursos do Azure Alertas de segurança, recomendações de segurança, resultados da avaliação de vulnerabilidade, informações de classificação de segurança, status de verificações de conformidade e muito mais.
API REST do Microsoft Defender para Nuvem Alertas de segurança, recomendações de segurança e muito mais.

Observação

Se não houver planos do Defender habilitados na assinatura, os dados serão removidos do Azure Resource Graph após 30 dias de inatividade no portal do Microsoft Defender para Nuvem. Após a interação com artefatos no portal relacionado à assinatura, os dados devem ficar visíveis novamente dentro de 24 horas.

Retenção de dados

Quando o grafo de segurança de nuvem coleta dados de ambientes do Azure e de várias nuvens e outras fontes de dados, ele mantém os dados por um período de 14 dias. Após 14 dias, os dados são excluídos.

Dados calculados, como caminhos de ataque, podem ser mantidos por mais 14 dias. Os dados calculados consistem em dados derivados dos dados brutos coletados do ambiente. Por exemplo, o caminho de ataque é derivado dos dados brutos coletados do ambiente.

Essas informações são coletadas de acordo com os compromissos de privacidade descritos em nossa Política de Privacidade.

Integração do Defender para Nuvem e do Microsoft Defender 365 Defender

Ao habilitar qualquer um dos planos pagos do Defender para Nuvem, você obtém automaticamente todos os benefícios do Microsoft Defender XDR. As informações do Defender para Nuvem serão compartilhadas com o Microsoft Defender XDR. Esses dados podem conter dados de clientes e serão armazenados de acordo com as diretrizes de tratamento de dados do Microsoft 365.