Partilhar via


Segurança de dados do Microsoft Defender for Cloud

Para ajudar os clientes a prevenir, detetar e responder a ameaças, o Microsoft Defender for Cloud coleta e processa dados relacionados à segurança, incluindo informações de configuração, metadados, logs de eventos e muito mais. A Microsoft respeita diretrizes rigorosas de conformidade e segurança, desde a codificação à operação de um serviço.

Este artigo explica como os dados são gerenciados e protegidos no Defender for Cloud.

Origens de dados

O Defender for Cloud analisa dados das seguintes fontes para fornecer visibilidade sobre seu estado de segurança, identificar vulnerabilidades e recomendar mitigações e detetar ameaças ativas:

  • Serviços do Azure: usa informações sobre a configuração dos serviços do Azure que você implantou comunicando-se com o provedor de recursos desse serviço.
  • Tráfego de rede: usa metadados de tráfego de rede de amostra da infraestrutura da Microsoft, como IP/porta de origem/destino, tamanho do pacote e protocolo de rede.
  • Soluções de parceiros: usa alertas de segurança de soluções integradas de parceiros, como firewalls e soluções antimalware.
  • Suas máquinas: usa detalhes de configuração e informações sobre eventos de segurança, como logs de auditoria e eventos do Windows e mensagens syslog de suas máquinas.

Partilha de dados

Quando você habilita a verificação de malware do Defender for Storage, ele pode compartilhar metadados, incluindo metadados classificados como dados do cliente (por exemplo, hash SHA-256), com o Microsoft Defender for Endpoint.

O Microsoft Defender for Cloud que executa o plano Defender for Cloud Security Posture Management (CSPM) compartilha dados integrados às recomendações do Microsoft Security Exposure Management.

Nota

O Microsoft Security Exposure Management está atualmente em pré-visualização pública.

Proteção de dados

Segregação de dados

Os dados são mantidos logicamente separados em cada componente durante todo o serviço. Todos os dados são etiquetados por organização. Essa marcação persiste durante todo o ciclo de vida dos dados e é imposta em cada camada do serviço.

Acesso a dados

Para fornecer recomendações de segurança e investigar possíveis ameaças à segurança, o pessoal da Microsoft pode aceder a informações recolhidas ou analisadas pelos serviços do Azure, incluindo eventos de criação de processos e outros artefactos, que podem incluir involuntariamente dados de clientes ou dados pessoais das suas máquinas.

Aderimos ao Adendo de Proteção de Dados do Microsoft Online Services, que afirma que a Microsoft não usará Dados do Cliente ou derivará informações deles para qualquer publicidade ou fins comerciais semelhantes. Apenas utilizamos os Dados do Cliente conforme necessário para lhe fornecer os serviços do Azure, incluindo fins compatíveis com o fornecimento desses serviços. O utilizador retém todos os direitos sobre os Dados do Cliente.

Utilização de dados

A Microsoft usa padrões e informações sobre ameaças vistos em vários locatários para aprimorar nossos recursos de prevenção e deteção; fazemo-lo de acordo com os compromissos de privacidade descritos na nossa Declaração de Privacidade.

Gerenciar a coleta de dados de máquinas

Quando você habilita o Defender for Cloud no Azure, a coleta de dados é ativada para cada uma de suas assinaturas do Azure. Também pode ativar a recolha de dados para as suas subscrições no Defender for Cloud. Quando a coleta de dados está habilitada, o Defender for Cloud provisiona o agente do Log Analytics em todas as máquinas virtuais do Azure com suporte existentes e em quaisquer novas que sejam criadas.

O agente do Log Analytics verifica várias configurações relacionadas à segurança e os eventos em rastreamentos ETW (Event Tracing for Windows ). Além disso, o sistema operacional gera eventos de log de eventos durante a execução da máquina. Os exemplos destes dados incluem: tipo e versão do sistema operativo, registos de sistema operativo (registos de eventos do Windows), processos em execução, nome da máquina, endereços IP, utilizador com sessão iniciada e ID do inquilino. O agente do Log Analytics lê entradas de log de eventos e rastreamentos ETW e os copia para o(s) seu(s) espaço(s) de trabalho para análise. O agente do Log Analytics também permite eventos de criação de processos e auditoria de linha de comando.

Se você não estiver usando os recursos de segurança aprimorados do Microsoft Defender for Cloud, também poderá desabilitar a coleta de dados de máquinas virtuais na Política de Segurança. A Recolha de Dados é necessária para subscrições protegidas por funcionalidades de segurança melhoradas. A recolha de instantâneos e artefactos de discos de VM continua ativada, mesmo que a recolha de dados tenha sido desativada.

Você pode especificar o espaço de trabalho e a região onde os dados coletados de suas máquinas são armazenados. O padrão é armazenar dados coletados de suas máquinas no espaço de trabalho mais próximo, conforme mostrado na tabela a seguir:

Área Geográfica da VM Área Geográfica da Área de Trabalho
Estados Unidos, Brasil, África do Sul Estados Unidos da América
Canadá Canadá
Europa (excluindo Reino Unido) Europa
Reino Unido Reino Unido
Ásia (excluindo Índia, Japão, Coreia, China) Ásia-Pacífico
Coreia do Sul Ásia-Pacífico
Índia Índia
Japão Japão
China China
Austrália Austrália

Nota

O Microsoft Defender for Storage armazena artefatos regionalmente de acordo com o local do recurso do Azure relacionado. Saiba mais em Visão geral do Microsoft Defender for Storage.

Consumo de dados

Os clientes podem acessar os dados relacionados ao Defender for Cloud a partir dos seguintes fluxos de dados:

Fluxo Tipos de dados
Registo de Atividades do Azure Todos os alertas de segurança, solicitações de acesso just-in-time aprovadas pelo Defender for Cloud.
Registos do Azure Monitor Todos os alertas de segurança.
Azure Resource Graph Alertas de segurança, recomendações de segurança, resultados de avaliação de vulnerabilidade, informações de pontuação segura, status das verificações de conformidade e muito mais.
API REST do Microsoft Defender for Cloud Alertas de segurança, recomendações de segurança e muito mais.

Nota

Se não houver planos do Defender habilitados na assinatura, os dados serão removidos do Azure Resource Graph após 30 dias de inatividade no portal do Microsoft Defender for Cloud. Após a interação com artefatos no portal relacionados à assinatura, os dados devem estar visíveis novamente dentro de 24 horas.

Retenção de dados

Quando o gráfico de segurança na nuvem coleta dados do Azure e de ambientes multicloud e de outras fontes de dados, ele retém os dados por um período de 14 dias. Após 14 dias, os dados são apagados.

Dados calculados, como caminhos de ataque, podem ser mantidos por mais 14 dias. Os dados calculados consistem em dados derivados dos dados brutos coletados do ambiente. Por exemplo, o caminho de ataque é derivado dos dados brutos coletados do ambiente.

Estas informações são recolhidas de acordo com os compromissos de privacidade descritos na nossa Declaração de Privacidade.

Integração do Defender for Cloud e do Microsoft Defender 365 Defender

Ao ativar qualquer um dos planos pagos do Defender for Cloud, você ganha automaticamente todos os benefícios do Microsoft Defender XDR. As informações do Defender for Cloud serão compartilhadas com o Microsoft Defender XDR. Esses dados podem conter dados do cliente e serão armazenados de acordo com as diretrizes de tratamento de dados do Microsoft 365.