Habilitar o gerenciamento da postura de segurança de dados para os datastores do Azure

Este artigo explica como habilitar o gerenciamento de postura de segurança de dados no Microsoft Defender para Nuvem. O gerenciamento de postura de segurança de dados ajuda você a descobrir e classificar dados confidenciais, identificar riscos e priorizar a correção. Antes de começar, examine os pré-requisitos neste artigo.

Antes de começar

Examine os seguintes pré-requisitos antes de habilitar o gerenciamento de postura de segurança de dados:

  • Antes de habilitar o gerenciamento de postura de segurança de dados, examine o suporte e os pré-requisitos.
  • Quando você habilita os planos do GPSN do Defender ou do Defender para Armazenamento, a extensão de descoberta de dados confidenciais é habilitada automaticamente. Você pode desabilitar essa configuração se não quiser usar o gerenciamento de postura de segurança de dados, mas recomendamos que você use o recurso para obter o maior valor do Defender para Nuvem.
  • Os dados confidenciais são identificados com base nas configurações de confidencialidade de dados no Defender para Nuvem. Você pode personalizar as configurações de confidencialidade de dados para identificar os dados que sua organização considera confidenciais.
  • Leva até 24 horas para ver os resultados de uma primeira descoberta depois de habilitar o recurso.

Habilitar no GPSN do Defender (Azure)

Siga estas etapas para habilitar o gerenciamento de postura de segurança de dados. Não se esqueça de examinar as permissões necessárias antes de começar.

  1. Navegue até as configurações do Microsoft Defender para Nuvem>Configurações de ambiente.

  2. Selecione a assinatura do Azure relevante.

  3. Para o plano do GPSN do Defender, selecione o status Ativado.

    Se o GPSN do Defender já estiver ativado, selecione Configurações na coluna de cobertura de monitoramento do plano do CSPM do Defender e verifique se o componente de descoberta de dados confidenciais está definido como Ativado status.

  4. Depois que a descoberta de dados confidenciais estiver ativada no GPSN do Defender, ela incorporará automaticamente o suporte para tipos de recursos adicionais à medida que o intervalo de tipos de recursos com suporte se expandir.

Habilitar no GPSN do Defender (AWS)

Antes de começar no AWS

Conclua as verificações a seguir antes de habilitar o gerenciamento de postura de segurança de dados para a AWS (Amazon Web Services):

  • Não se esqueça de: examine os requisitos de descoberta do AWS e as permissões necessárias.
  • Verifique se não há nenhuma política que bloqueie a conexão com seus buckets do Amazon S3.
  • Para instâncias do Amazon Relational Database Service (RDS), há suporte para criptografia entre contas com o AWS Key Management Service (KMS), mas políticas adicionais de acesso ao KMS podem impedir o acesso.

Habilitar recursos para Amazon Web Services

Configurar buckets do S3 e instâncias de RDS

Para habilitar a verificação de buckets S3 e instâncias de RDS:

  1. Em Defender para Nuvem, vá para Configurações de Ambiente e selecione o conector do AWS.
  2. Ative o GPSN do Defender com descoberta de dados confidenciais.
  3. Prossiga com as instruções para baixar o modelo cloudformation e executá-lo no AWS.

A descoberta automática de buckets S3 na conta do AWS é iniciada automaticamente.

Para buckets S3, a verificação do Defender para Nuvem é executada na sua conta da AWS e se conecta aos buckets S3.

Para instâncias de RDS, a descoberta será disparada quando a Descoberta de Dados Confidenciais estiver ativada. O verificador pegará o instantâneo automatizado mais recente de uma instância, criará um instantâneo manual na conta de origem e o copiará para um ambiente isolado de propriedade da Microsoft na mesma região.

O instantâneo é usado para criar uma instância dinâmica que é ativada, verificada e imediatamente destruída (junto com o instantâneo copiado).

Somente as descobertas de verificação são relatadas pela plataforma de verificação.

Diagrama que explica a plataforma de escaneamento do RDS.

Verificar se há políticas de bloqueio S3

Se o processo de habilitação não funcionar devido a uma política bloqueada, verifique o seguinte:

  • Verifique se a política de bucket S3 não bloqueia a conexão. No bucket S3 da AWS, selecione a guia Permissões Política de bucket >. Verifique os detalhes da política para verificar se o serviço de scanner do Microsoft Defender para Nuvem em execução na conta da Microsoft na AWS não está bloqueado.
  • Verifique se não há nenhuma política SCP que bloqueie a conexão com o bucket S3. Por exemplo, sua política SCP pode bloquear chamadas de API de leitura para a região da AWS em que o bucket S3 está hospedado.
  • Verifique se essas chamadas de API necessárias são permitidas pela política SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Verifique se sua política SCP permite chamadas para a região AWS do leste dos EUA-1, que é a região padrão para chamadas à API.

Habilitar o monitoramento com reconhecimento de dados no Defender para Armazenamento

A detecção de ameaças de dados confidenciais é habilitada por padrão quando o componente de descoberta de dados confidenciais está habilitado no plano defender para armazenamento. Para obter detalhes, consulte Detecção de ameaças de dados confidenciais no Defender for Storage.

Note

Se você desativar GPSN do Defender, somente Armazenamento do Azure recursos serão verificados.

Próxima etapa

Examinar os riscos de segurança em seus dados

  • Last updated on