Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo resume as novidades em recomendações de segurança, alertas e incidentes em Microsoft Defender para Nuvem. Inclui informações sobre recomendações e alertas novos, modificados e preteridos.
Esta página é atualizada com frequência com as recomendações e alertas mais recentes no Defender para Nuvem.
Recomendações com mais de seis meses são encontradas na lista de referência de recomendações relevantes.
Encontre as informações mais recentes sobre recursos de Defender para Nuvem novos e atualizados em O que há de novo em recursos Defender para Nuvem.
Dica
receba uma notificação quando esta página for atualizada copiando e colando a seguinte URL em seu leitor de feeds: https://aka.ms/mdc/rss-recommendations-alerts
- Reveja uma lista completa de recomendações e alertas de segurança multinuvem:
Atualizações em recomendações, alertas e incidentes
Recomendações, alertas e incidentes novos e atualizados são adicionados à tabela por ordem de data.
| Data anunciada | Tipo | State | Nome |
|---|---|---|---|
| 14 de abril de 2026 | Recomendação | Visualização | As seguintes recomendações agora estão disponíveis em versão prévia para servidores flexíveis Banco de Dados do Azure para PostgreSQL como parte do GPSN do Defender: * O ponto de extremidade privado deve ser configurado para os servidores de banco de dados do Azure para PostgreSQL * 'Permitir acesso a Azure serviços' deve ser desabilitado para servidores PostgreSQL |
| 30 de março de 2026 | Alerta | Visualização | O alerta a seguir agora está em Versão Prévia: * Conteúdo mal-intencionado detectado no modelo de IA carregado |
| 29 de março de 2026 | Recomendação | Visualização | As seguintes recomendações agora estão disponíveis em versão prévia para servidores flexíveis Banco de Dados do Azure para PostgreSQL como parte do GPSN do Defender: * Os backups com redundância geográfica devem ser habilitados para servidores PostgreSQL * require_secure_transport deve ser definido como "ligado" para os servidores Banco de Dados do Azure para PostgreSQL. |
| 29 de março de 2026 | Recomendação | Reprovação | Após o anúncio de 3 de dezembro de 2025, a recomendação Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers para Defender para o plano SQL Servers on Machines foi preterida. |
| 04 de março de 2026 | Recomendação | Próximas preterições | As seguintes recomendações de vulnerabilidade de contêiner agrupado estão programadas para desativação em 13 de abril de 2026: Recomendações de contêiner: * [Visualização] Contêineres em execução no Azure devem ter as conclusões de vulnerabilidade resolvidas * [Versão prévia] Os contêineres em execução na AWS devem ter as conclusões de vulnerabilidade resolvidas * [Versão prévia] Contêineres em execução no GCP devem ter descobertas de vulnerabilidade resolvidas Recomendações de imagens de contêineres: * [Visualização] As imagens de contêiner no registro Azure devem ter as conclusões de vulnerabilidade resolvidas * [Visualização] As imagens de contêiner no registro do AWS devem ter as conclusões de vulnerabilidade resolvidas * [Versão prévia] As descobertas de vulnerabilidade das imagens de contêiner no registro do GCP devem ser resolvidas Essas recomendações agrupadas estão sendo substituídas por recomendações individuais que fornecem visibilidade mais granular, melhor priorização e melhor governança. Saiba mais em Descontinuação da pré-visualização das recomendações de vulnerabilidade para contêineres e imagens de contêiner. |
| 24 de fevereiro de 2026 | Recomendação | GA | As seguintes recomendações de dados são GA: - As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual. - A conta de armazenamento deve usar uma conexão de link privado. - As contas de armazenamento devem impedir o acesso de chave compartilhada. |
| 16 de fevereiro de 2026 | Recomendação | Próximas desativações (19 de março de 2026) |
A recomendação de versão preliminar Machines should be configured securely (powered by MDVM), que se aplica aos computadores Windows, está definida para descontinuação. A recomendação está definida para ser substituída pelas seguintes recomendações específicas do sistema operacional, que incluem o suporte do Linux usando a configuração de convidado: - As vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (suportadas pela Guest Configuration) - Vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (suportadas pela Configuração de Convidado). Essas recomendações de substituição já estão disponíveis no Defender para Nuvem. Se você tiver regras de governança, relatórios ou fluxos de trabalho que façam referência à recomendação preterida, atualize-os para usar as recomendações de substituição. Para garantir que as novas recomendações possam avaliar seus computadores, verifique se os pré-requisitos necessários estão em vigor: - Azure máquinas devem ter a extensão Azure Machine Configuration instalada. - Máquinas não Azure devem ser integradas por Azure Arc, que inclui a extensão Configuração de Máquina por padrão. |
| 10 de fevereiro de 2026 | Recomendação | Visualização | As seguintes recomendações são lançadas na versão prévia: * As permissões de execução em xp_cmdshell de todos os usuários (exceto dbo) devem ser revogadas para SQL Servers * As atualizações mais recentes devem ser instaladas para SQL Servers * O usuário de banco de dados GUEST não deve ser membro de nenhuma função em bancos de dados SQL * As consultas distribuídas ad hoc devem ser desabilitadas para SQL Servers * O CLR deve ser desabilitado para SQL Servers * Assemblies não rastreados e confiáveis devem ser removidos para servidores SQL * O encadeamento de propriedade do banco de dados deve ser desabilitado para todos os bancos de dados, exceto para 'master', 'msdb' e 'tempdb' em servidores SQL * O PRINCIPAL GUEST não deve ter acesso a nenhum banco de dados SQL de usuário * Conexões de administrador remoto devem ser desabilitadas, a menos que seja necessário especificamente para bancos de dados SQL * O rastreamento padrão deve ser habilitado para SQL Servers * CHECK_POLICY deve ser habilitado para todos os logons do SQL para SQL Servers * A verificação de expiração de senha deve ser habilitada para todos os logons do SQL no SQL Servers * As entidades de banco de dados não devem ser mapeadas para a conta sa em bancos de dados SQL * AUTO_CLOSE deve ser desabilitado para bancos de dados SQL * BUILTIN\Administradores devem ser removidos como um login de servidor para os SQL Servers * A conta com o nome padrão 'sa' deve ser renomeada e desabilitada no SQL Servers * Permissões excessivas não devem ser concedidas à função PUBLIC em objetos ou colunas em bancos de dados SQL * O logon 'sa' deve ser desabilitado para SQL Servers * xp_cmdshell deve ser desabilitado para SQL Servers * Os pontos de extremidade do corretor de serviço não utilizados devem ser removidos para servidores SQL * Os Database Mail XPs devem ser desabilitados quando não estiverem em uso nos servidores SQL * As permissões do servidor não devem ser concedidas diretamente às entidades de segurança para SQL Servers * Os usuários do banco de dados não devem compartilhar o mesmo nome que um logon de servidor para o banco de dados SQL Model * A opção 'Verificar procedimentos armazenados de inicialização' deve ser desabilitada para SQL Servers * O modo de autenticação deve ser Autenticação do Windows para servidores SQL * A auditoria de tentativas de logon bem-sucedidas e com falha (rastreamento padrão) deve ser habilitada quando o recurso “Auditoria de logon” estiver configurado para rastrear logons para SQL Servers * A instância do SQL Server não deve ser anunciada pelo serviço SQL Server Browser. * O número máximo de logs de erros deve ser 12 ou mais para SQL Servers * As permissões de banco de dados não devem ser concedidas diretamente às entidades de segurança para SQL Servers * Permissões excessivas não devem ser concedidas à função PUBLIC em bancos de dados SQL * O PRINCIPAL GUEST não deve receber permissões em bancos de dados SQL * O PRINCIPAL GUEST não deve receber permissões em objetos ou colunas em bancos de dados SQL * A criptografia AES deve ser obrigatória para qualquer ponto de extremidade SSB ou espelhamento existente em bancos de dados SQL * O usuário CONVIDADO não deve receber permissões em objetos securitáveis do banco de dados SQL * O bit de confiança deve ser desabilitado em todos os bancos de dados SQL, exceto no MSDB. * O usuário 'dbo' não deve ser usado para a operação de serviço normal em bancos de dados SQL * Somente 'dbo' deve ter acesso ao banco de dados SQL modelo * A criptografia transparente de dados deve ser habilitada para bancos de dados SQL * A comunicação de banco de dados usando o TDS deve ser protegida por meio do TLS para SQL Servers * As chaves simétricas de criptografia de banco de dados devem usar o algoritmo AES em bancos de dados SQL * As chaves de criptografia em nível de célula devem usar o algoritmo AES em bancos de dados SQL * As chaves de certificado devem usar pelo menos 2.048 bits para bancos de dados SQL * O comprimento das chaves assimétricas deve ser de pelo menos 2.048 bits em bancos de dados SQL * O fluxo de arquivos deve ser desabilitado para SQL Servers *A configuração do servidor 'Replication XPs' deve ser desabilitada para servidores SQL * Os usuários órfãos devem ser removidos dos bancos de dados do SQL Server * As informações do proprietário do banco de dados no banco de dados devem corresponder às respectivas informações de proprietário de banco de dados no banco de dados mestre para bancos de dados SQL * As funções de aplicativo não devem ser usadas em bancos de dados SQL * Não deve haver SPs marcadas como inicialização automática para servidores SQL * As funções de banco de dados definidas pelo usuário não devem ser membros de funções fixas em bancos de dados SQL * Assembleias CLR de usuários não devem ser definidas em bancos de dados SQL * Os proprietários de banco de dados devem ser conforme o esperado para bancos de dados SQL * A auditoria de tentativas de logon bem-sucedidas e com falha deve estar habilitada para servidores SQL * A auditoria de tentativas de logon bem-sucedidas e mal-sucedidas para autenticação de banco de dados contido deve ser habilitada para bancos de dados SQL. * Os usuários contidos devem usar a Autenticação Windows em bancos de dados SQL Server * A criptografia de rede do Polybase deve ser habilitada para bancos de dados SQL * Criar uma linha de base de provedores de gerenciamento de chaves externas para SQL Servers * A criptografia forçada deve ser habilitada para o TDS em servidores SQL * As permissões de servidor concedidas ao público devem ser minimizadas para SQL Servers * Todas as associações para funções definidas pelo usuário devem ser destinadas a bancos de dados SQL * Funções de banco de dados órfãs devem ser removidas dos bancos de dados SQL * Deve haver pelo menos 1 auditoria ativa no sistema para SQL Servers * O conjunto mínimo de principais deve receber permissões ALTER ou ALTER ANY USER com escopo para banco de dados nos bancos de dados SQL * Um conjunto mínimo de entidades de segurança deve receber a permissão EXECUTE em objetos ou colunas nos bancos de dados SQL * A Detecção de Ameaças sql deve ser habilitada no nível do SQL Server * A auditoria deve ser habilitada no nível do servidor para SQL Servers * As regras de firewall no nível do banco de dados não devem conceder acesso excessivo para SQL Servers * As regras de firewall no nível do servidor não devem conceder acesso excessivo para SQL Servers * As regras de firewall no nível de banco de dados devem ser rastreadas e mantidas em uma restrição mínima para SQL Servers * As regras de firewall no nível de servidor devem ser controladas e mantidas em uma restrição mínima em SQL Servers * Permissões de execução desnecessárias em procedimentos armazenados estendidos devem ser revogadas para SQL Servers * O conjunto mínimo de principais deve ser membros de funções fixas do banco de dados mestre do Banco de Dados SQL do Azure * Um conjunto mínimo de entidades de segurança deve ser membro das funções fixas de banco de dados de alto impacto em bancos de dados SQL * O conjunto mínimo de principais usuários deve ser membros de funções fixas de banco de dados de baixo impacto em bancos de dados SQL * As permissões de execução para acessar o registro devem ser restritas para SQL Servers * Os bancos de dados de exemplo devem ser removidos em servidores SQL * Permissões de DTS (Serviços de Transformação de Dados) só devem ser concedidas a funções SSIS no banco de dados SQL do MSDB * Um conjunto mínimo de entidades de segurança deve ser membro das funções de servidor fixas de impacto médio para SQL Servers * Os recursos que podem afetar a segurança devem ser desabilitados para SQL Servers * O recurso 'Procedimentos de Automação OLE' deve ser desabilitado para SQL Servers * O recurso 'Opções de Usuário' deve ser desabilitado para SQL Servers * Os recursos de extensibilidade que podem afetar a segurança devem ser desabilitados se não forem necessários para SQL Servers * A Avaliação de Vulnerabilidade deve ser configurada apenas no SQL Server 2012 e superior * As alterações nos módulos assinados devem ser autorizadas para bancos de dados SQL * Acompanhar todos os usuários com acesso ao banco de dados para Bancos de Dados SQL * Logons do SQL com nomes comumente usados devem ser desabilitados para SQL Servers * Consulte o mapeamento completo de regras e recomendações |
| 11 de dezembro de 2025 | Alerta | Deprecated | Os alertas a seguir agora foram preteridos. * AppServices_AnomalousPageAccess * AppServices_CurlToDisk * AppServices_WpThemeInjection * AppServices_SmartScreen * ServiçosDeAplicativo_VerificarPáginaSensível * AppServices_CommandlineSuspectDomain * AzureDNS_InteligênciaAmeaçaDomínioSuspeito * Detecção de Comportamento de Ataque Sem Arquivo do AppServices (AppServices_FilelessAttackBehaviorDetection) * AppServices_DetecçãoDeTécnicasDeAtaqueSemArquivo * ServiçosApp_KitDeAtaqueSemArquivoDetecção * AppServices_PhishingContent * AppServices_ProcessoComExtensãoSuspeitaConhecida Esses alertas estão sendo desativados como parte de um processo de melhoria de qualidade e substituídos por alertas mais recentes e avançados que fornecem maior precisão e recursos aprimorados de detecção de ameaças. Essa atualização garante uma cobertura de segurança aprimorada e ruídos reduzidos. |
| 3 de dezembro de 2025 | Recomendação | Descontinuação futura (aviso de 30 dias) | A recomendação a seguir é definida para substituição daqui a 30 dias: Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers para Defender para o plano SQL Servers on Machines. |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) A Assinatura de Código deve ser habilitada no Lambda |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) O mecanismo de segurança deve ser usado no API Gateway da função Lambda |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) A autenticação deve ser habilitada nas URLs da Função Lambda |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) A função Lambda deve implementar a Simultaneidade Reservada para evitar o esgotamento de recursos |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) A função Lambda deve ser configurada com atualizações automáticas de versão de runtime |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) A autenticação deve ser habilitada no Azure Functions |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) Permissões excessivamente permissivas não devem ser configuradas no Aplicativo de Funções, aplicativo Web ou aplicativo lógico |
| 1º de dezembro de 2025 | Recomendação | Visualização | (Versão prévia) O acesso restrito à rede deve ser configurado no aplicativo de função exposto na Internet |
| 21 de outubro de 2025 | Alerta | Atualizar | As seguintes alterações serão aplicadas aos alertas K8S.Node_* para clusters EKS e GKE. A propriedade resourceIdentifiers fará referência ao Identificador do Conector MDC: Microsoft Security/securityConnectors/CONNECTOR_NAME/securityentitydata/EKS_CLUSTER_NAME em vez do ID do recurso Arc Microsoft Kubernetes/connectedClusters/ARC_CLUSTER_NAME. A propriedade Entidades fará referência ao identificador nativo de nuvem arn:aws:eks:AWS_REGION:AWS_ACCOUNT:cluster/CLUSTER_NAME ou container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_NAME, em vez do ID do recurso Arc Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME. O resourceTypefield em extendedProperties mudará de "Kubernetes – Azure Arc" para o respectivo tipo de recurso "Cluster AWS EKS" ou "Cluster GKE GCP". |
| 10 de setembro de 2025 | Alerta | Reprovação | O alerta a seguir foi preterido: Nome do processo suspeito detectado |
| 1º de junho de 2025 | Alerta | Próximas preterições | O alerta a seguir será preterido, pois o método não tem mais suporte no PowerZure: * Uso da função do PowerZure para manter a persistência em seu ambiente Azure |
| 15 de maio de 2025 | Alerta | Próximas preterições | Os alertas a seguir serão preteridos e não estarão disponíveis por meio da integração XDR: * Ataque de DDoS detectado para IP público * Ataque de DDoS mitigado para IP público Note: os alertas estarão disponíveis no portal Defender para Nuvem. |
| 1 de maio de 2025 | Alerta | GA | Alertas de IA foram liberados para GA com a versão oficial de GA do plano |
| 20 de abril de 2025 | Alerta | Visualização | (Versão prévia) AI – dados confidenciais suspeitos mencionados pelo recurso de IA Azure, isso substitui o alerta de exposição de dados confidenciais anterior |
| 29 de abril de 2025 | Recomendação | GA | Role-Based Controle de Acesso deve ser usado no Keyvault Services |
| 20 de abril de 2025 | Alerta | Visualização | IA – Anomalia suspeita detectada em dados confidenciais expostos pelo recurso de IA, isso substitui o alerta de exposição de dados confidenciais anterior |
| 5 de fevereiro de 2025 | Recomendação | Próximas preterições | As seguintes recomendações serão preteridas: * Configurar Microsoft Defender para armazenamento (clássico) a ser habilitado * Configurar o Microsoft Defender para Armazenamento no modo básico para ser habilitado (somente monitoramento de atividade) |
| 29 de janeiro de 2025 | Recomendação | GA | Reforçamos ainda mais a recomendação A execução de contêineres como usuário raiz deve ser evitada. O que está mudando? Agora, é necessário especificar pelo menos um intervalo para a "Regra Executar como grupo". Essa alteração foi necessária para garantir que os contêineres não obtenham acesso a arquivos de propriedade do root e a grupos com permissões para o grupo root. |
| 13 de janeiro de 2025 | Alerta | Visualização | IA – Acesso de um IP suspeito |
| 13 de janeiro de 2025 | Alerta | Visualização | IA – Suspeita de ataque à carteira |
| 19 de dezembro de 2024 | Alerta | GA | Os seguintes alertas de Armazenamento do Azure são GA: Blob malicioso foi baixado de uma conta de armazenamento Token SAS incomum foi usado para acessar uma conta de armazenamento Azure de um endereço IP público Operação externa suspeita para uma conta de armazenamento Azure com token SAS excessivamente permissivo Acesso externo suspeito a uma conta de armazenamento Azure com token SAS excessivamente permissivo Acesso público não autenticado incomum a um contêiner de blob confidencial Volume incomum de dados extraídos de um contêiner de blob confidencial Número incomum de blobs extraídos de um contêiner de blob confidencial Acesso de um local incomum a um contêiner de blob confidencial Acesso de um aplicativo suspeito conhecido a um contêiner de blob confidencial Acesso de um endereço IP suspeito conhecido a um contêiner de blob confidencial Acesso de um nó de saída do Tor a um contêiner de blob confidencial |
| 16 de dezembro de 2024 | Alerta | Visualização | IA – Acesso de um IP do Tor |
| 19 de novembro de 2024 | Reprovação | GA | As recomendações de MFA são descontinuadas, pois o Azure agora exige isso.. As recomendações a seguir são preteridas: * Contas com permissões de leitura em recursos Azure devem ser habilitadas para MFA * Contas com permissões de gravação em recursos Azure devem ser habilitadas para MFA * Contas com permissões de proprietário em recursos Azure devem ser habilitadas para MFA |
| 19 de novembro de 2024 | Alerta | Visualização | IA - agente de usuário suspeito detectado |
| 19 de novembro de 2024 | Alerta | Visualização | Injeção de prompt Indesejado de ASCII detectada |
| 30 de outubro de 2024 | Alerta | GA | Extração suspeita de chaves de conta do Azure Cosmos DB |
| 30 de outubro de 2024 | Alerta | GA | O nível de acesso de um contêiner de blob de armazenamento confidencial foi alterado para permitir acesso público não autenticado |
| 30 de outubro de 2024 | Recomendação | Próximas preterições | as recomendações de MFA são descontinuadas, pois o Azure agora requer isso.. As recomendações a seguir serão preteridas: * Contas com permissões de leitura em Azure recursos devem ser habilitadas para MFA * Contas com permissões de gravação em recursos de Azure devem ser habilitadas para MFA * Contas com permissões de proprietário em Azure recursos devem ser habilitadas para MFA |
| 12 de outubro de 2024 | Recomendação | GA | Banco de Dados do Azure para PostgreSQL servidor flexível deve ter somente a autenticação Microsoft Entra habilitada |
| 6 de outubro de 2024 | Recomendação | Atualizar | [Versão prévia] Os contêineres em execução no GCP devem ter as conclusões de vulnerabilidade resolvidas |
| 6 de outubro de 2024 | Recomendação | Atualizar | [Versão prévia] Os contêineres em execução na AWS devem ter as conclusões de vulnerabilidade resolvidas |
| 6 de outubro de 2024 | Recomendação | Atualizar | [Versão prévia] Contêineres em execução no Azure devem ter descobertas de vulnerabilidade resolvidas |
| 10 de setembro de 2024 | Alerta | Visualização | Um aplicativo\modelo\dados de IA corrompidos direcionaram uma tentativa de ataque de phishing a um usuário |
| 10 de setembro de 2024 | Alerta | Visualização | URL de phishing compartilhada em um aplicativo de IA |
| 10 de setembro de 2024 | Alerta | Visualização | Tentativa de phishing detectada em um aplicativo de IA |
| 5 de setembro de 2024 | Recomendação | GA | As atualizações do sistema devem ser instaladas em seus computadores (gerenciados por Gerenciador de Atualizações do Azure) |
| 5 de setembro de 2024 | Recomendação | GA | Os computadores devem ser configurados para verificar periodicamente se há atualizações ausentes do sistema |
Conteúdo relacionado
Para obter informações sobre novos recursos, consulte O que há de novo em recursos de Defender para Nuvem.