Sobre o gerenciamento de postura de segurança de dados
À medida que a transformação digital acelera, as organizações movem dados para a nuvem a uma taxa exponencial usando vários armazenamentos de dados, como armazenamentos de objetos e bancos de dados gerenciados/hospedados. A natureza dinâmica e complexa da nuvem aumenta as superfícies de ameaças e os riscos de dados. Isso causa desafios para as equipes de segurança em torno da visibilidade dos dados e da proteção do patrimônio de dados na nuvem.
O gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud ajuda você a reduzir o risco aos dados e responder a violações de dados. Usando o gerenciamento de postura de segurança de dados, você pode:
- Descubra automaticamente recursos de dados confidenciais em várias nuvens.
- Avalie a sensibilidade dos dados, a exposição dos dados e como os dados fluem pela organização.
- Descubra de forma proativa e contínua os riscos que podem levar a violações de dados.
- Detete atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais.
Descoberta automática
O gerenciamento de postura de segurança de dados deteta de forma automática e contínua recursos de dados gerenciados e de sombra em nuvens, incluindo diferentes tipos de objetos, armazenamentos e bancos de dados.
- Descubra dados confidenciais usando a extensão de descoberta de dados confidenciais incluída nos planos Defender Cloud Security Posture Management (CSPM) e Defender for Storage.
- Além disso, você pode descobrir bancos de dados hospedados e fluxos de dados no Cloud Security Explorer e no Attack Paths. Essa funcionalidade está disponível no plano Defender CSPM e não depende da extensão de descoberta de dados confidenciais.
Amostragem inteligente
O Defender for Cloud usa amostragem inteligente para descobrir um número selecionado de ativos em seus armazenamentos de dados na nuvem. Os resultados de amostragem inteligente descobrem evidências de problemas de dados confidenciais, ao mesmo tempo em que economizam custos e tempo de deteção.
Gestão da postura de segurança de dados no Defender CSPM
O Defender CSPM fornece visibilidade e informações contextuais sobre sua postura de segurança organizacional. A adição do gerenciamento de postura de segurança de dados ao plano Defender CSPM permite que você identifique e priorize proativamente os riscos críticos de dados, distinguindo-os de problemas menos arriscados.
Caminhos de ataque
A análise de caminho de ataque ajuda você a resolver problemas de segurança que representam ameaças imediatas e têm o maior potencial de exploração em seu ambiente. O Defender for Cloud analisa quais problemas de segurança fazem parte de possíveis caminhos de ataque que os invasores podem usar para invadir seu ambiente. Também destaca as recomendações de segurança que precisam ser resolvidas para mitigar os riscos.
Você pode descobrir o risco de violações de dados por caminhos de ataque de VMs expostas à Internet que têm acesso a armazenamentos de dados confidenciais. Os hackers podem explorar VMs expostas para se mover lateralmente pela empresa para acessar essas lojas.
Explorador de Segurança da Cloud
O Cloud Security Explorer ajuda você a identificar riscos de segurança em seu ambiente de nuvem executando consultas baseadas em gráficos no Cloud Security Graph (mecanismo de contexto do Defender for Cloud). Você pode priorizar as preocupações da sua equipe de segurança, levando em consideração o contexto e as convenções específicas da sua organização.
Você pode usar modelos de consulta do Cloud Security Explorer ou criar suas próprias consultas para encontrar informações sobre recursos de dados mal configurados que são acessíveis publicamente e contêm dados confidenciais em ambientes multicloud. Você pode executar consultas para examinar problemas de segurança e obter o contexto do ambiente em seu inventário de ativos, exposição à Internet, controles de acesso, fluxos de dados e muito mais. Analise as informações do gráfico na nuvem.
Gerenciamento de postura de segurança de dados no Defender for Storage
O Defender for Storage monitoriza as contas de armazenamento do Azure com capacidades avançadas de deteção de ameaças. Ele deteta possíveis violações de dados identificando tentativas prejudiciais de acessar ou explorar dados e identificando alterações de configuração suspeitas que podem levar a uma violação.
Quando os primeiros sinais suspeitos são detetados, o Defender for Storage gera alertas de segurança, permitindo que as equipes de segurança respondam e atenuem rapidamente.
Ao aplicar tipos de informações confidenciais e rótulos de sensibilidade do Microsoft Purview em recursos de armazenamento, você pode priorizar facilmente os alertas e recomendações que se concentram em dados confidenciais.
Saiba mais sobre a descoberta de dados confidenciais no Defender for Storage.
Configurações de sensibilidade de dados
As configurações de confidencialidade de dados definem o que é considerado dados confidenciais em sua organização. Os valores de sensibilidade de dados no Defender for Cloud baseiam-se em:
- Tipos de informações confidenciais predefinidas: o Defender for Cloud usa os tipos de informações confidenciais integrados no Microsoft Purview. Isso garante uma classificação consistente entre serviços e cargas de trabalho. Alguns desses tipos são ativados por padrão no Defender for Cloud. Você pode modificar esses padrões. Desses tipos de informações confidenciais incorporadas, há um subconjunto suportado pela descoberta de dados confidenciais. Você pode exibir uma lista de referência desse subconjunto, que também lista quais tipos de informações são suportados por padrão.
- Tipos/rótulos de informações personalizadas: opcionalmente, você pode importar tipos e rótulos de informações confidenciais personalizados definidos no portal de conformidade do Microsoft Purview.
- Limites de dados confidenciais: no Defender for Cloud, você pode definir o limite para rótulos de dados confidenciais. O limite determina o nível mínimo de confiança para que um rótulo seja marcado como confidencial no Defender for Cloud. Os limites facilitam a exploração de dados confidenciais.
Ao descobrir recursos para a sensibilidade de dados, os resultados são baseados nessas configurações.
Quando você habilita os recursos de gerenciamento de postura de segurança de dados com o componente de descoberta de dados confidenciais nos planos Defender CSPM ou Defender for Storage, o Defender for Cloud usa algoritmos para identificar recursos de dados que parecem conter dados confidenciais. Os recursos são rotulados de acordo com as configurações de sensibilidade de dados.
As alterações nas configurações de sensibilidade entram em vigor na próxima vez que os recursos forem descobertos.
Deteção de dados confidenciais
A descoberta de dados confidenciais identifica recursos confidenciais e seus riscos relacionados e, em seguida, ajuda a priorizar e corrigir esses riscos.
O Defender for Cloud considera um recurso sensível se um SIT (Tipo de Informação Confidencial) for detetado nele e você tiver configurado o SIT para ser considerado confidencial. Confira a lista de SITs que são considerados sensíveis por padrão.
O processo de descoberta de dados confidenciais opera coletando amostras dos dados do recurso. Os dados de exemplo são usados para identificar recursos confidenciais com alta confiança sem executar uma verificação completa de todos os ativos no recurso.
O processo de descoberta de dados confidenciais é alimentado pelo mecanismo de classificação Microsoft Purview, que usa um conjunto comum de SITs e rótulos para todos os armazenamentos de dados, independentemente do tipo ou do fornecedor de nuvem de hospedagem.
A descoberta de dados confidenciais deteta a existência de dados confidenciais no nível de carga de trabalho na nuvem. A descoberta de dados confidenciais visa identificar vários tipos de informações confidenciais, mas pode não detetar todos os tipos.
Para obter resultados completos da verificação de catalogação de dados com todos os SITs disponíveis no recurso de nuvem, recomendamos que você use os recursos de verificação do Microsoft Purview.
Para armazenamento em nuvem
O algoritmo de varredura do Defender for Cloud seleciona contêineres que podem conter informações confidenciais e amostras de até 20 MB para cada arquivo digitalizado dentro do contêiner.
Para bancos de dados na nuvem
O Defender for Cloud seleciona determinadas tabelas e amostras entre 300 e 1.024 linhas usando consultas sem bloqueio.