Classificações predefinidas
Gerenciamento de Exposição da Segurança fornece um catálogo inicial de classificações de recursos críticos predefinidas para recursos que incluem dispositivos, identidades e recursos na cloud.
Pode rever e classificar recursos críticos, ativando-os e desativando-os conforme necessário.
Para sugerir novas classificações de recursos críticos, utilize o botão Feedback .
Os tipos de recursos atuais são:
Observação
Também utilizamos o contexto de criticidade obtido a partir de conectores de dados externos. Este contexto será apresentado como classificações na biblioteca de classificação de gestão de recursos crítica predefinida.
Dispositivo
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Microsoft Entra ID Connect | Dispositivo | Médio | O servidor do Microsoft Entra ID Connect (anteriormente conhecido como AAD Connect) é responsável pela sincronização de dados e palavras-passe de diretório no local com o inquilino Microsoft Entra ID. |
| ADCS | Dispositivo | Médio | O servidor ADCS permite que os administradores implementem totalmente uma infraestrutura de chaves públicas (PKI) e emitam certificados digitais que podem ser utilizados para proteger múltiplos recursos numa rede. Além disso, o ADCS pode ser utilizado para várias soluções de segurança, como encriptação SSL, autenticação de utilizador e e-mail seguro. |
| ADFS | Dispositivo | Alto | O servidor ADFS fornece aos utilizadores acesso de início de sessão único a sistemas e aplicações localizados em limites organizacionais. Utiliza um modelo de autorização de controlo de acesso baseado em afirmações para manter a segurança da aplicação e implementar a identidade federada. |
| Backup | Dispositivo | Médio | O servidor de cópia de segurança é responsável por salvaguardar os dados através de cópias de segurança regulares, garantindo a proteção de dados e a preparação para a recuperação após desastre. |
| Dispositivo Administração de Domínio | Dispositivo | Alto | Os dispositivos de administrador de domínio são dispositivos nos quais um ou mais dos administradores de domínio têm sessão iniciada frequentemente. É provável que estes dispositivos armazenem ficheiros, documentos e credenciais relacionados utilizados pelos administradores de domínio. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| Controlador de Domínio | Dispositivo | Alto | O servidor de controlador de domínio é responsável pela autenticação, autorização e gestão centralizada de recursos de rede num domínio do Active Directory. |
| DNS | Dispositivo | Baixo | O servidor DNS é essencial para resolver nomes de domínio para endereços IP, permitindo a comunicação de rede e o acesso aos recursos tanto interna como externamente. |
| Exchange | Dispositivo | Médio | O exchange server é responsável por todo o tráfego de correio dentro da organização. Dependendo da configuração e arquitetura, cada servidor pode conter várias bases de dados de correio que armazenam informações organizacionais altamente confidenciais. |
| Dispositivo Administração de TI | Dispositivo | Médio | Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos dentro da organização são vitais para a administração de TI e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| Dispositivo de Administração de Rede | Dispositivo | Médio | Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos de rede na organização são vitais para a administração da rede e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas. |
| VMware ESXi | Dispositivo | Alto | O hipervisor VMware ESXi é essencial para executar e gerir máquinas virtuais na sua infraestrutura. Como hipervisor bare-metal, fornece a base para criar e gerir recursos virtuais. |
| VMware vCenter | Dispositivo | Alto | O VMware vCenter Server é crucial para a gestão de ambientes virtuais. Fornece gestão centralizada de máquinas virtuais e anfitriões ESXi. Se falhar, poderá interromper a administração e o controlo da infraestrutura virtual, incluindo o aprovisionamento, a migração, o balanceamento de carga das máquinas virtuais e a automatização do datacenter. No entanto, como muitas vezes existem servidores vCenter redundantes e configurações de Elevada Disponibilidade, a paragem imediata de todas as operações pode não ocorrer. A falha pode ainda causar inconvenientes significativos e potenciais problemas de desempenho |
| Hyper-V Server | Dispositivo | Alto | O hipervisor Hyper-V é essencial para executar e gerir máquinas virtuais na sua infraestrutura, que servem de plataforma principal para a sua criação e gestão. Se o anfitrião Hyper-V falhar, pode levar à indisponibilidade das máquinas virtuais alojadas, causando potencialmente tempo de inatividade e perturbando as operações empresariais. Além disso, pode resultar numa degradação significativa do desempenho e desafios operacionais. Assim, garantir a fiabilidade e a estabilidade dos anfitriões Hyper-V é fundamental para manter operações totalmente integradas num ambiente virtual. |
Identidade
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Identidade com Função privilegiada do Azure | Identidade | Alto | As seguintes identidades (Utilizador, Grupo, Principal de Serviço ou Identidade Gerida) têm uma função RBAC do Azure privilegiada ou incorporada atribuída, no âmbito da subscrição, que contém um recurso crítico. A função pode incluir permissões para atribuições de funções do Azure, modificar políticas do Azure, executar scripts numa VM com o comando Executar, acesso de leitura a contas de armazenamento e keyvaults, etc. |
| Administrador de Aplicativos | Identidade | Muito Alto | As identidades nesta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e definições de proxy de aplicações. |
| Desenvolvedor de Aplicativo | Identidade | Alto | As identidades nesta função podem criar registos de aplicações independentemente da definição "Os utilizadores podem registar aplicações". |
| Administrador de Autenticação | Identidade | Muito Alto | As identidades nesta função podem definir e repor o método de autenticação (incluindo palavras-passe) para utilizadores não administradores. |
| Administrador do Conjunto de Chaves IEF B2C | Identidade | Alto | As identidades nesta função podem gerir segredos para federação e encriptação no Identity Experience Framework (IEF). |
| Administrador de Aplicativos de Nuvem | Identidade | Muito Alto | As identidades nesta função podem criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações. |
| Administrador de Dispositivos na Cloud | Identidade | Alto | As identidades nesta função têm acesso limitado para gerir dispositivos no Microsoft Entra ID. Podem ativar, desativar e eliminar dispositivos no Microsoft Entra ID e ler Windows 10 chaves BitLocker (se estiverem presentes) no portal do Azure. |
| Administrador de Acesso Condicional | Identidade | Alto | As identidades nesta função têm a capacidade de gerir Microsoft Entra definições de Acesso Condicional. |
| Contas de Sincronização de Diretórios | Identidade | Muito Alto | As identidades nesta função têm a capacidade de gerir todas as definições de sincronização de diretórios. Só deve ser utilizado pelo serviço Microsoft Entra Connect. |
| Escritores de diretório | Identidade | Alto | As identidades nesta função podem ler e escrever informações básicas do diretório. Para conceder acesso a aplicações, não se destina a utilizadores. |
| Administrador Global | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos de Microsoft Entra ID e serviços Microsoft que utilizam identidades Microsoft Entra. |
| Leitor Global | Identidade | Alto | As identidades nesta função podem ler tudo o que um Administrador Global pode, mas não atualizar nada. |
| Administrador da Assistência Técnica | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Suporte Técnico. |
| Administrador de Identidade Híbrida | Identidade | Muito Alto | As identidades nesta função podem gerir o Active Directory para Microsoft Entra aprovisionamento na cloud, Microsoft Entra Connect, Autenticação Pass-through (PTA), Sincronização do hash de palavras-passe (PHS), início de sessão único totalmente integrado (SSO Totalmente Integrado) e definições de federação. |
| Administrador do Intune | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos do produto Intune. |
| Suporte de nível1 do parceiro | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para utilizadores não administradores, atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral. |
| Suporte de nível2 do parceiro | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para todos os utilizadores (incluindo Administradores Globais), atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral. |
| Administrador de Palavras-passe | Identidade | Muito Alto | As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Palavra-passe. |
| Administrador de Autenticação Privilegiada | Identidade | Muito Alto | As identidades nesta função podem ver, definir e repor informações do método de autenticação para qualquer utilizador (administrador ou não administrador). |
| Administrador de Função Privilegiada | Identidade | Muito Alto | As identidades nesta função podem gerir atribuições de funções no Microsoft Entra ID e todos os aspetos da Privileged Identity Management. |
| Administrador de Segurança | Identidade | Alto | As identidades nesta função podem ler informações e relatórios de segurança e gerir a configuração em Microsoft Entra ID e Office 365. |
| Operador de Segurança | Identidade | Alto | As identidades nesta função podem criar e gerir eventos de segurança. |
| Leitor de Segurança | Identidade | Alto | As identidades nesta função podem ler informações e relatórios de segurança em Microsoft Entra ID e Office 365. |
| Administrador do usuário | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. |
| Administrador do Exchange | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do produto Exchange. |
| Administrador do SharePoint | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do serviço SharePoint. |
| Administrador de Conformidade | Identidade | Alto | As identidades nesta função podem ler e gerir configurações e relatórios de conformidade no Microsoft Entra ID e no Microsoft 365. |
| Administrador do Grupos | Identidade | Alto | As identidades nesta função podem criar/gerir grupos e definições de grupo, como políticas de nomenclatura e expiração, e ver relatórios de auditoria e atividade de grupo. |
| Administrador do Fornecedor de Identidade Externo | Identidade | Muito Alto | As identidades nesta função podem configurar fornecedores de identidade para utilização na federação direta. |
| Administrador de Nomes de Domínio | Identidade | Muito Alto | As identidades nesta função podem gerir nomes de domínio na cloud e no local. |
| Administrador do Gerenciamento de Permissões | Identidade | Muito Alto | As identidades nesta função podem gerir todos os aspetos do Gerenciamento de Permissões do Microsoft Entra (EPM). |
| Administrador de Cobrança | Identidade | Alto | As identidades nesta função podem realizar tarefas comuns relacionadas com a faturação, como atualizar informações de pagamento. |
| Administrador de Licenças | Identidade | Alto | As identidades nesta função podem gerir licenças de produtos em utilizadores e grupos. |
| Administrador do Teams | Identidade | Alto | As identidades nesta função podem gerir o serviço Microsoft Teams. |
| Administrador do Fluxo de Utilizador ID externa | Identidade | Alto | As identidades nesta função podem criar e gerir todos os aspetos dos fluxos de utilizador. |
| ID externa Administrador de Atributos do Fluxo de Utilizador | Identidade | Alto | As identidades nesta função podem criar e gerir o esquema de atributos disponível para todos os fluxos de utilizador. |
| Administrador de Políticas do IEF B2C | Identidade | Alto | As identidades nesta função podem criar e gerir políticas de arquitetura de confiança no Identity Experience Framework (IEF). |
| Administrador de Dados de Conformidade | Identidade | Alto | As identidades nesta função podem criar e gerir conteúdos de conformidade. |
| Administrador de Políticas de Autenticação | Identidade | Alto | As identidades nesta função podem criar e gerir a política de métodos de autenticação, as definições de MFA ao nível do inquilino, a política de proteção de palavras-passe e as credenciais verificáveis. |
| Administrador de Conhecimento | Identidade | Alto | As identidades nesta função podem configurar conhecimentos, aprendizagem e outras funcionalidades inteligentes. |
| Gerente de Conhecimento | Identidade | Alto | As identidades nesta função podem organizar, criar, gerir e promover tópicos e conhecimentos. |
| Administrador de Definição de Atributos | Identidade | Alto | As identidades nesta função podem definir e gerir a definição de atributos de segurança personalizados. |
| Administrador de Atribuição de Atributos | Identidade | Alto | As identidades nesta função podem atribuir chaves e valores de atributos de segurança personalizados a objetos de Microsoft Entra suportados. |
| Administrador de Governação de Identidades | Identidade | Alto | As identidades nesta função podem gerir o acesso com Microsoft Entra ID para cenários de governação de identidades. |
| Administrador Cloud App Security | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do produto Defender para Aplicativos de Nuvem. |
| Administrador do Windows 365 | Identidade | Alto | As identidades nesta função podem aprovisionar e gerir todos os aspetos dos PCs na Cloud. |
| Administrador do Yammer | Identidade | Alto | As identidades nesta função podem gerir todos os aspetos do serviço Yammer. |
| Administrador de Extensibilidade de Autenticação | Identidade | Alto | As identidades nesta função podem personalizar as experiências de início de sessão e inscrição para os utilizadores ao criar e gerir extensões de autenticação personalizadas. |
| Administrador de Fluxos de Trabalho do Ciclo de Vida | Identidade | Alto | As identidades nesta função criam e gerem todos os aspetos dos fluxos de trabalho e tarefas associados aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID. |
Recurso da cloud
| Classificação | Tipo de recurso | Nível de criticidade predefinido | Descrição |
|---|---|---|---|
| Bases de dados com Dados Confidenciais | Recurso da cloud | Alto | Este é um arquivo de dados que contém dados confidenciais. A confidencialidade dos dados pode ir desde segredos, documentos confidenciais, informações pessoais identificáveis e muito mais. |
| Máquina Virtual confidencial do Azure | Recurso da cloud | Alto | Esta regra aplica-se a máquinas virtuais confidenciais do Azure. As VMs confidenciais proporcionam um maior isolamento, privacidade e encriptação e são utilizadas para dados e cargas de trabalho críticos ou altamente confidenciais. |
| Máquina Virtual do Azure Bloqueada | Recurso da cloud | Médio | Esta é uma máquina virtual que é salvaguardada por um bloqueio. Os bloqueios são utilizados para proteger os recursos contra eliminações e modificações. Normalmente, os administradores utilizam bloqueios para salvaguardar recursos críticos da cloud no respetivo ambiente e protegê-los contra eliminações acidentais e modificações não autorizadas. |
| Máquina Virtual do Azure com Elevada Disponibilidade e Desempenho | Recurso da cloud | Baixo | Esta regra aplica-se a máquinas virtuais do Azure que utilizam o armazenamento premium do Azure e estão configuradas com um conjunto de disponibilidade. O armazenamento Premium é utilizado para máquinas com requisitos de elevado desempenho, como cargas de trabalho de produção. Os conjuntos de disponibilidade melhoram a resiliência e são frequentemente indicados para VMs críticas para a empresa que precisam de elevada disponibilidade. |
| Armazenamento Imutável do Azure | Recurso da cloud | Médio | Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado. A imutabilidade armazena dados de negócio numa escrita após ler o estado de muitos (WORM) e, normalmente, indica que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações. |
| Armazenamento Imutável e Bloqueado do Azure | Recurso da cloud | Alto | Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado com uma política bloqueada. A imutabilidade armazena dados de negócio numa escrita depois de ler muitos (WORM). A proteção de dados é aumentada com uma política bloqueada para garantir que os dados não podem ser eliminados ou que o respetivo tempo de retenção foi reduzido. Normalmente, estas definições indicam que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações ou eliminações. Os dados também podem ter de estar alinhados com as políticas de conformidade para a proteção de dados. |
| Máquina Virtual do Azure com Um Utilizador Crítico Com Sessão Iniciada | Recurso da cloud | Alto | Esta regra aplica-se a máquinas virtuais protegidas pelo Defender para Endpoint, em que um utilizador com um nível de criticidade elevado ou muito elevado tem sessão iniciada. O utilizador com sessão iniciada pode ser feito através de um dispositivo associado ou registado, de uma sessão ativa do browser ou de outros meios. |
| Azure Key Vaults com Muitas Identidades Ligadas | Recurso da cloud | Alto | Esta regra identifica os Key Vaults que podem ser acedidos por um grande número de identidades, em comparação com outros Key Vaults. Isto indica frequentemente que o Key Vault é utilizado por cargas de trabalho críticas, como serviços de produção. |