Partilhar via


Padrões de conformidade regulatória no Microsoft Defender for Cloud

O Microsoft Defender for Cloud simplifica o processo de conformidade regulamentar, ajudando-o a identificar problemas que o impedem de cumprir uma norma de conformidade específica ou de obter uma certificação de conformidade.

Os padrões do setor, os padrões regulatórios e as referências são representados no Defender for Cloud como padrões de segurança e aparecem no painel de conformidade regulamentar.

Controlos de conformidade

Cada padrão de segurança consiste em vários controles de conformidade, que são grupos lógicos de recomendações de segurança relacionadas.

O Defender for Cloud avalia continuamente o ambiente no escopo em relação a quaisquer controles de conformidade que possam ser avaliados automaticamente. Com base em avaliações, mostra os recursos como estando ou não em conformidade com os controlos.

Nota

É importante observar que, se os padrões tiverem controles de conformidade que não podem ser avaliados automaticamente, o Defender for Cloud não poderá decidir se um recurso está em conformidade com o controle. Nesse caso, o controle será exibido como acinzentado. Além disso, se uma assinatura não tiver recursos relevantes para um padrão específico, o padrão não será mostrado no painel de conformidade regulatória, mesmo que tenha sido atribuído.

Ver padrões de conformidade

O painel de conformidade regulatória fornece uma visão geral interativa do estado de conformidade.

Captura de tela mostrando o painel de conformidade regulatória.

No painel você pode:

  • Obtenha um resumo dos controles de padrões que foram aprovados.
  • Obtenha um resumo das normas que têm a menor taxa de aprovação de recursos.
  • Analise os padrões aplicados dentro do escopo selecionado.
  • Revisar avaliações para controles de conformidade dentro de cada norma aplicada.
  • Obtenha um relatório resumido para um padrão específico.
  • Gerencie as políticas de conformidade para ver os padrões atribuídos a um escopo específico.
  • Executar uma consulta para criar um relatório de conformidade personalizado
  • Crie uma "pasta de trabalho de conformidade ao longo do tempo" para acompanhar o status de conformidade ao longo do tempo.
  • Faça o download dos relatórios de auditoria.
  • Analise as ofertas de conformidade para auditorias da Microsoft e de terceiros.

Detalhes da norma de conformidade

Para cada padrão de conformidade, você pode visualizar:

  • Âmbito de aplicação da norma.
  • Cada norma é dividida em grupos de controlos e subcontrolos.
  • Ao aplicar um padrão a um escopo, você pode ver um resumo da avaliação de conformidade para recursos dentro do escopo, para cada controle padrão.
  • O status das avaliações reflete a conformidade com a norma. Existem três Estados:
    • Um círculo verde indica que os recursos no escopo são compatíveis com o controle.
    • Um círculo vermelho indica que os recursos não são compatíveis com o controle.
    • Os controles indisponíveis são aqueles que não podem ser avaliados automaticamente e, portanto, o Defender for Cloud não consegue acessar se os recursos estão em conformidade.

Você pode detalhar os controles para obter informações sobre recursos que foram aprovados/reprovados nas avaliações e para as etapas de correção.

Padrões de conformidade padrão

Por padrão, quando você ativa o Defender for Cloud, os seguintes padrões são ativados:

Normas de conformidade disponíveis

Os seguintes padrões estão disponíveis no Defender for Cloud:

Padrões para assinaturas do Azure Padrões para contas da AWS Normas para projetos GCP
Governo australiano protegido pelo ISM Melhores práticas de segurança da AWS Foundational Lei Geral de Proteção de Dados Pessoais (LGPD)
Canada Federal PBMM Estrutura bem arquitetada da AWS Lei de Privacidade do Consumidor da Califórnia (CCPA)
Fundamentos do Azure CIS Lei Geral de Proteção de Dados Pessoais (LGPD) Controlos CIS
CIS Azure Kubernetes Service (AKS) Benchmark Lei de Privacidade do Consumidor da Califórnia (CCPA) Fundamentos do CIS GCP
CMMC CIS Amazon Elastic Kubernetes Service (EKS) Benchmark Benchmark da Fundação CIS Google Cloud Platform
FedRAMP 'H' & 'M' Fundamentos da AWS do CIS CIS Google Kubernetes Engine (GKE) Benchmark
HIPAA/HITRUST Perfil CRI Perfil CRI
ISO/IEC 27001 Matriz de controles de nuvem CSA (CCM) Matriz de controles de nuvem CSA (CCM)
Nova Zelândia ISM Restrito GDPR Certificação do Modelo de Maturidade em Cibersegurança (CMMC)
NIST SP 800-171 ISO/IEC 27001 Ferramenta de Avaliação de Cibersegurança da FFIEC (CAT)
NIST SP 800-53 ISO/IEC 27002 GDPR
PCI DSS Estrutura de Cibersegurança do NIST (CSF) ISO/IEC 27001
RMIT Malásia NIST SP 800-172 ISO/IEC 27002
SOC 2 PCI DSS ISO/IEC 27017
Espanhol ENS Estrutura de Cibersegurança do NIST (CSF)
SWIFT CSP CSCF NIST SP 800-53
UK OFFICIAL e UK NHS NIST SP 800-171
NIST SP 800-172
PCI DSS
Lei Sarbanes Oxley (SOX)
SOC 2