Habilitar o gerenciamento de postura de segurança de dados para armazenamentos de dados do Azure

Este artigo explica como ativar a gestão da postura de segurança de dados no Microsoft Defender para a Cloud. A gestão da postura de segurança dos dados ajuda-o a descobrir e classificar dados sensíveis, identificar riscos e priorizar a remediação. Antes de começar, reveja os pré-requisitos deste artigo.

Antes de começar

Revise os seguintes pré-requisitos antes de ativar a gestão da postura de segurança dos dados:

  • Antes de habilitar o gerenciamento de postura de segurança de dados, revise o suporte e os pré-requisitos.
  • Quando você habilita os planos GPSC do Defender ou Defender for Storage, a extensão de descoberta de dados confidenciais é habilitada automaticamente. Você pode desativar essa configuração se não quiser usar o gerenciamento de postura de segurança de dados, mas recomendamos que você use o recurso para obter o máximo valor do Defender para a Cloud.
  • Os dados confidenciais são identificados com base nas configurações de sensibilidade de dados no Defender para a Cloud. Você pode personalizar as configurações de confidencialidade de dados para identificar os dados que sua organização considera confidenciais.
  • Leva até 24 horas para ver os resultados de uma primeira descoberta depois de ativar o recurso.

Ativar no GPSC do Defender (Azure)

Siga estas etapas para habilitar o gerenciamento de postura de segurança de dados. Não se esqueça de rever as permissões necessárias antes de começar.

  1. Navegue para Microsoft Defender para a Cloud>Definições do Ambiente.

  2. Selecione a subscrição do Azure relevante.

  3. Para o plano GPSC do Defender, selecione o status Ativado .

    Se o GPSC do Defender já estiver ativado, selecione Configurações na coluna Cobertura de monitoramento do plano GPSC do Defender e verifique se o componente Descoberta de dados confidenciais está definido como Status ativado .

  4. Quando a descoberta de dados confidenciais estiver ativada no GPSC do Defender, ela incorporará automaticamente o suporte para tipos de recursos adicionais à medida que o intervalo de tipos de recursos suportados se expande.

Ativar o GPSC do Defender (AWS)

Antes de começar na AWS

Complete as seguintes verificações antes de ativar a gestão da postura de segurança de dados para a Amazon Web Services (AWS):

  • Não se esqueça de: revise os requisitos para a descoberta da AWS e as permissões necessárias.
  • Verifique se não há nenhuma política que bloqueie a conexão com seus buckets do Amazon S3.
  • Para instâncias do Amazon Relational Database Service (RDS), é suportada a encriptação entre contas do AWS Key Management Service (KMS), mas políticas adicionais de acesso KMS podem impedir o acesso.

Habilite para recursos da AWS

Configurar buckets S3 e instâncias RDS

Para ativar a análise de buckets do S3 e instâncias do RDS:

  1. No Defender para a Cloud, vai a Definições de Ambiente e seleciona o teu conector AWS.
  2. Ative o GPSC do Defender com a Descoberta de dados sensíveis.
  3. Continue com as instruções para baixar o modelo do CloudFormation e executá-lo na AWS.

A descoberta automática de buckets do S3 na conta da AWS é iniciada automaticamente.

Para buckets do S3, o scanner do Defender para a Cloud é executado em sua conta da AWS e se conecta aos buckets do S3.

Para instâncias RDS, a descoberta será acionada assim que a Descoberta de Dados Confidenciais estiver ativada. O scanner realizará o instantâneo automatizado mais recente para uma instância, criará um instantâneo manual na conta de origem e copiá-lo-á para um ambiente isolado de propriedade da Microsoft dentro da mesma região.

O snapshot é usado para criar uma instância ativa que é girada, digitalizada e, em seguida, imediatamente destruída (juntamente com o snapshot copiado).

Apenas os resultados da varredura são relatados pela plataforma de varredura.

Diagrama explicando a plataforma de varredura RDS.

Verifique se há políticas de bloqueio do S3

Se o processo de ativação não funcionou devido a uma política bloqueada, verifique o seguinte:

  • Verifique se a política de bucket do S3 não bloqueia a conexão. No bucket do AWS S3, selecione a guia > Política de bucket. Verifique os detalhes da política para garantir que o serviço de varredura do Microsoft Defender para a Cloud em execução na conta da Microsoft na AWS não esteja bloqueado.
  • Certifique-se de que não há nenhuma política SCP que bloqueie a conexão com o bucket do S3. Por exemplo, sua política de SCP pode bloquear chamadas de API de leitura para a região da AWS onde seu bucket do S3 está hospedado.
  • Verifique se essas chamadas de API necessárias são permitidas pela sua política de SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Verifique se sua política de SCP permite chamadas para a região da AWS us-east-1, que é a região padrão para chamadas de API.

Habilite o monitoramento com reconhecimento de dados no Defender for Storage

A deteção de ameaças a dados confidenciais é habilitada por padrão quando o componente de descoberta de dados confidenciais está habilitado no plano do Defender for Storage. Para mais detalhes, consulte Deteção de ameaças de dados sensíveis em Defender para Armazenamento.

Note

Se desativares o GPSC do Defender, só os recursos do Armazenamento do Azure são digitalizados.

Próximo passo

Analise os riscos de segurança nos seus dados

  • Last updated on