Criar uma linha de base do Microsoft Defender para Nuvem

  • 8 minutos

O Microsoft Defender para Nuvem fornece gerenciamento de segurança unificado e proteção avançada contra ameaças para cargas de trabalho que são executadas no Azure, localmente e em outras nuvens. As recomendações do Defender para Nuvem a seguir, se adotadas, definirão várias políticas de segurança em uma assinatura do Azure. Essas políticas definem o conjunto de controles que são recomendados para seus recursos com uma assinatura do Azure.

Recomendações de segurança do Microsoft Defender para Nuvem

As seções a seguir descrevem as recomendações do Microsoft Defender para Nuvem que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Conclua essas etapas para sua assinatura e usando seus recursos para validar cada recomendação de segurança. Tenha em mente que as opções de Nível 2 podem restringir alguns recursos ou atividades, portanto, considere cuidadosamente quais opções de segurança você decide impor.

Exibir políticas de segurança internas do Microsoft Defender para Nuvem

Para ver as políticas de segurança do Microsoft Defender para Nuvem para sua assinatura do Azure:

  1. Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  2. No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.

  3. Selecione a assinatura para abrir o painel Configurações de política.

Captura de tela que mostra as configurações de ambiente do Defender para Nuvem.

As políticas habilitadas definem as recomendações do Microsoft Defender para Nuvem, conforme mostrado no seguinte exemplo:

Captura de tela que mostra as políticas de segurança internas do Defender para Nuvem.

Habilitar atualizações do sistema – Nível 1

O Microsoft Defender para Nuvem monitora diariamente VMs e computadores Windows e Linux para saber se faltam atualizações do sistema operacional. O Defender para Nuvem recupera uma lista de atualizações de segurança e críticas do Windows Update ou WSUS (Windows Server Update Services). Quais atualizações estão na lista dependem de qual serviço você configura em um computador Windows. O Defender para Nuvem também verifica as atualizações mais recentes em sistemas Linux. Se faltar uma atualização do sistema em sua VM ou em seu computador, o Defender para Nuvem recomendará que você aplique atualizações do sistema.

  1. Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  2. No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.

  3. Selecione a assinatura.

  4. No menu à esquerda, selecione Política de segurança.

  5. Em Iniciativa padrão, selecione uma assinatura ou grupo de gerenciamento.

  6. Selecione a guia Parâmetros .

  7. Verifique se a caixa Mostrar somente parâmetros que precisam de entrada ou revisão está desmarcada.

    Captura de tela que mostra a guia Parâmetros e a caixa de seleção Mostrar somente parâmetros que precisam de entrada ou revisão está desmarcada.

  8. Verifique se As atualizações do sistema devem ser instaladas em seus computadores é uma das políticas listadas.

    Neste exemplo a seguir, o agente do Microsoft Defender para Nuvem não foi implantado em uma VM nem em um computador físico, portanto, a mensagem AuditIfNotExists é exibida. AuditIfNotExists habilita a auditoria em recursos que correspondem à condição if. Caso o recurso não esteja implantado, a mensagem NotExists será exibida.

    Captura de tela que mostra o parâmetro “Atualizações do sistema devem ser instaladas em seus computadores”.

    Se As atualizações do sistema devem ser instaladas em seus computadores estiver habilitado, Auditoria será exibido. Caso o recurso esteja implantado, porém não disponível, a mensagem Desabilitado será exibida.

  9. Se você alterar as configurações, selecione a guia Examinar + salvar e, em seguida, selecione Salvar.

Habilitar configurações de segurança – Nível 1

O Microsoft Defender para Nuvem monitora as configurações de segurança aplicando um conjunto de mais de 150 regras recomendadas para proteger o sistema operacional. Essas regras estão relacionadas a firewalls, auditoria, políticas de senha e muito mais. Se uma configuração vulnerável for encontrada em um computador, o Defender para Nuvem vai gerar uma recomendação de segurança.

  1. Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  2. No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.

  3. Selecione a assinatura.

  4. No menu à esquerda, selecione Política de segurança.

  5. Em Iniciativa padrão, selecione uma assinatura ou grupo de gerenciamento.

  6. Selecione a guia Parâmetros .

  7. Verifique se As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas é uma das políticas.

  8. Se você alterar as configurações, selecione a guia Examinar + salvar e, em seguida, selecione Salvar.

Observação

Todas as categorias de política a seguir que têm um (*) no título estão na guia Parâmetros. Em alguns casos, há várias opções em cada categoria.

Habilitar proteção de ponto de extremidade (*) – Nível 1

O Endpoint Protection é recomendado para todas as máquinas virtuais.

Habilitar criptografia de disco (*) – Nível 1

O Microsoft Defender para Nuvem recomenda que você use o Azure Disk Encryption se tiver discos de VM do Windows ou Linux. A criptografia de disco permite criptografar seus discos de VM de IaaS (infraestrutura como serviço) Windows e Linux. A criptografia é recomendada para volumes de dados e do sistema operacional em sua VM.

Habilitar Grupos de Segurança de Rede (*) – Nível 1

O Microsoft Defender para Nuvem recomenda que você habilite um NSG (grupo de segurança de rede). Os grupos de segurança de rede contêm uma lista de regras da ACL (Lista de Controle de Acesso) que permitem ou negam o tráfego de rede para suas instâncias de VM em uma rede virtual. Os NSGs podem ser associados a sub-redes ou a instâncias de VM individuais dentro dessa sub-rede. Quando um grupo de segurança de rede é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM nessa sub-rede. Além disso, o tráfego para uma VM individual pode ser restrito ainda mais por meio da associação de um NSG diretamente a essa VM.

Habilitar um firewall do aplicativo Web (*) – Nível 1

O Microsoft Defender para Nuvem pode recomendar que você adicione um WAF (Firewall de Aplicativo Web) de um parceiro da Microsoft para proteger seus aplicativos Web.

Habilitar avaliação de vulnerabilidade (*) – Nível 1

A avaliação de vulnerabilidade no Microsoft Defender para Nuvem faz parte das recomendações de VM do Defender para Nuvem. Se o Defender para Nuvem não encontrar uma solução de avaliação de vulnerabilidade instalada em sua VM, ele recomendará a instalação de uma. Depois de implantado, o agente parceiro começará a reportar dados de vulnerabilidade para a plataforma de gerenciamento do parceiro. Por sua vez, a plataforma de gerenciamento do parceiro fornecerá dados de monitoramento de vulnerabilidade e integridade de volta para o Defender para Nuvem.

Habilitar criptografia de armazenamento (*) – Nível 1

Quando a criptografia de armazenamento é habilitada, todos os novos dados no Armazenamento de Blobs do Azure e nos Arquivos do Azure são criptografados.

Habilitar acesso à rede JIT (*) – Nível 1

O acesso à rede JIT (just-in-time) pode ser usado para bloquear o tráfego de entrada para as VMs do Azure. O acesso à rede JIT reduz a exposição a ataques, enquanto fornece acesso fácil para se conectar a VMs quando necessário.

Habilitar controle de aplicativo adaptável (*) - Nível 1

O controle de aplicativos adaptável é uma solução inteligente e automatizada de listagem de aplicativos aprovada de ponta a ponta do Microsoft Defender para Nuvem. Eles ajudam a controlar quais aplicativos podem ser executados em VMs no Azure e fora do Azure (Windows e Linux), o que, entre outros benefícios, ajuda a proteger suas VMs contra malware. O Defender para Nuvem usa machine learning para analisar os aplicativos em execução em suas VMs. Ele ajuda você a aplicar regras de aprovação específicas usando a inteligência de controle de aplicativo adaptável. Essa funcionalidade simplifica muito o processo de configuração e manutenção de políticas de aplicativo aprovadas.

Habilitar auditoria e detecção de ameaças do SQL (*) – Nível 1

O Microsoft Defender para Nuvem recomenda que você ative a auditoria e detecção de ameaças para todos os bancos de dados em seus servidores executados no SQL do Azure. A auditoria e a detecção de ameaças podem ajudar você a manter a conformidade regulatória, a entender a atividade do banco de dados e a obter informações sobre discrepâncias e anomalias que poderiam alertar sobre preocupações de negócios ou suspeitas de violações de segurança.

Habilitar criptografia SQL (*) – Nível 1

O Microsoft Defender para Nuvem recomenda que você habilite a TDE (Transparent Data Encryption) em bancos de dados SQL em execução no Azure. A TDE protege seus dados e ajuda a cumprir os requisitos de conformidade criptografando seu banco de dados, backups associados e arquivos inativos do log de transações. Habilitar a TDE não requer alterações em seus aplicativos.

Definir número de telefone e email de contato de segurança – Nível 1

O Microsoft Defender para Nuvem recomenda que você forneça detalhes de contato de segurança para sua assinatura do Azure. A Microsoft usará essas informações para contatá-lo se o Microsoft Security Response Center descobrir que os dados do cliente têm sido acessados por uma pessoa não autorizada ou ilegal. O Microsoft Security Response Center executa determinado monitoramento de segurança da rede e da infraestrutura do Azure e recebe reclamações de inteligência e abuso de ameaça de terceiros.

  1. Entre no portal do Azure. Pesquise e selecione Gerenciamento de Custos + Cobrança. Dependendo de suas assinaturas, você verá o painel Visão geral ou o painel Escopo do orçamento.

    • Se você vir o painel Visão geral, vá para a próxima etapa.
    • Se você vir o painel Escopo do orçamento, selecione sua assinatura para ir para o painel Visão geral.

  2. No painel Visão geral, no menu à esquerda em Configurações, selecione Propriedades.

  3. Valide as informações de contato exibidas. Se você precisar atualizar as informações de contato, selecione o link Atualização vendida para e insira as novas informações.

  4. Se alterar configurações, selecione Salvar.

Captura de tela que mostra o painel Propriedades com informações de contato e o link Atualizar vendido para selecionado.

Habilitar Enviar-me emails sobre alertas – Nível 1

O Microsoft Defender para Nuvem recomenda que você forneça detalhes de contato de segurança para sua assinatura do Azure.

  1. Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  2. No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.

  3. Selecione a assinatura.

  4. No menu à esquerda, em Configurações, selecione Notificações por email.

  5. Na lista suspensa Todos os usuários com as seguintes funções, selecione sua função ou, em Endereços de email adicionais (separados por vírgulas), insira seu endereço de email.

  6. Marque a caixa de seleção Notificar sobre alertas com a gravidade a seguir, selecione uma severidade do alerta e selecione Salvar.

Captura de tela que mostra o painel de configurações de notificações de email do Microsoft Defender para Nuvem.

Habilitar Enviar email também para proprietários de assinatura – Nível 1

O Microsoft Defender para Nuvem recomenda que você forneça detalhes de contato de segurança para sua assinatura do Azure.

  1. No painel Notificações por email descrito na seção anterior, você pode adicionar mais endereços de email separados por vírgulas.

  2. Se alterar as configurações, na barra de menus, selecione Salvar.