Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem fornece recomendações de segurança para melhorar a postura de segurança organizacional e reduzir o risco. Um elemento importante na redução de riscos é proteger os computadores em todo o ambiente de negócios.
Avaliação (extensão de Configuração de Máquina do Azure)
O Defender para Nuvem avalia e impõe configurações de segurança de melhores práticas usando iniciativas internas de política do Azure. O Microsoft Cloud Security Benchmark (MCSB) é a iniciativa padrão do Defender para Nuvem.
O MCSB inclui as linhas de base de segurança de computação para os sistemas operacionais Windows e Linux.
As recomendações de sistema operacional com base nesses baselines de segurança de computação do MCSB não estão incluídas nos recursos gratuitos e fundamentais de postura de segurança do Defender para Nuvem.
As recomendações estarão disponíveis quando o Plano 2 do Defender para Servidores estiver habilitado.
Quando o Plano 2 do Defender para Servidores estiver habilitado, as políticas do Azure relevantes estarão habilitadas na assinatura:
- "Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure"
- "Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure"
Certifique-se de não remover essas políticas. Caso contrário, você não poderá aproveitar a extensão de configuração de máquina usada para coletar dados do computador.
Coleta de dados
As informações do computador são coletadas para fins de avaliação usando a extensão de configuração de máquina do Azure Policy (anteriormente conhecida como configuração de convidado do Azure Policy) em execução no computador.
Instalando a extensão de configuração de máquina
A extensão de configuração de máquina é instalada da seguinte maneira:
- Azure: Em máquinas do Azure, instale corrigindo a recomendação A extensão de Configuração de Convidado deve ser instalada nas máquinas.
- AWS/GCP: nos computadores da AWS e do GCP, a configuração de máquina é instalada por padrão quando você seleciona o provisionamento do Arc no conector da AWS ou do GCP.
- Local: para computadores locais, a configuração de máquina é habilitada por padrão quando você integra as VMs locais como VMs habilitadas para o Azure Arc.
- VMs do Azure: somente em VMs do Azure (não em VMs habilitadas para Arc), você deve atribuir uma identidade gerenciada à máquina corrigindo a recomendação A extensão de Configuração de Convidado de máquinas virtuais deve ser implantada com identidade gerenciada atribuída pelo sistema.
O que não está incluído
Os recursos adicionais fornecidos pela extensão de configuração da máquina fora do Defender para Nuvem não estão incluídos e estão sujeitos aos preços da Configuração de Máquina do Azure Policy.
- Por exemplo, a correção e políticas personalizadas.
- Confira os detalhes de preços da configuração de máquina do Azure Policy.
Avaliação (Gerenciamento de Vulnerabilidade do Defensor)
O Microsoft Defender para Nuvem se integra nativamente ao Microsoft Defender para Ponto de Extremidade e ao Gerenciamento de Vulnerabilidades do Microsoft Defender para fornecer aos computadores recursos de proteção contra vulnerabilidades e de detecção e resposta de ponto de extremidade (EDR).
Como parte dessa integração, a avaliação das linhas de base de segurança é fornecida pelo Gerenciamento de Vulnerabilidades do Defender.
- A avaliação das configurações de referência de segurança usa perfis personalizados de configuração de referência de segurança.
- Os perfis são, basicamente, um modelo que consiste em configurações de dispositivo e parâmetros de comparação aos quais compará-los.
Suporte
A avaliação de dispositivos em relação aos perfis de avaliação das linhas de base de segurança do Gerenciamento de Vulnerabilidades do Defender está disponível no momento em versão prévia pública.
O Plano 2 do Defender para Servidores deve estar habilitado, e o agente do Defender para Endpoint deve estar em execução nas máquinas que você deseja avaliar.
A avaliação é compatível com computadores que executam perfis de linha de base de segurança:
- windows_server_2008_r2
- windows_server_2016
- windows_server_2019
- windows_server_2022
Revisão das recomendações
Para revisar as recomendações feitas pelas avaliações de linha de base de segurança, pesquise a recomendação **Os computadores devem ser configurados de forma segura (a partir da plataforma MDVM)** e confira a recomendação para todos os recursos.
Próximas etapas
- Instale a configuração de máquina do Azure Policy.
- Corrija configurações incorretas da linha de base do sistema operacional usando Aplicar correções de linha de base de segurança.