Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este guia é para profissionais de tecnologia da informação (TI), arquitetos de TI, analistas de segurança da informação e administradores de nuvem que planejam usar o Defender para a Cloud.
Planning guide (Guia de planeamento)
Este guia fornece informações básicas sobre como o Defender para a Cloud se encaixa nos requisitos de segurança e no modelo de gerenciamento de nuvem da sua organização. É importante entender como diferentes indivíduos ou equipes em sua organização usam o serviço para atender às necessidades de desenvolvimento e operações seguras, monitoramento, governança e resposta a incidentes. As principais áreas a serem consideradas ao planejar o uso do Defender para a Cloud são:
- Funções de Segurança e Controlos de Acesso
- Recomendações e Políticas de Segurança
- Armazenamento e Recolha de Dados
- Integração de recursos não Azure
- Monitorização Contínua de Segurança
- Resposta ao Incidente
Na próxima seção, você aprenderá como planejar cada uma dessas áreas e aplicar essas recomendações com base em suas necessidades.
Note
Leia as perguntas comuns do Defender para a Cloud para obter uma lista de perguntas comuns que também podem ser úteis durante a fase de design e planejamento.
Funções de segurança e controlos de acesso
Dependendo do tamanho e da estrutura da sua organização, vários indivíduos e equipes podem usar o Defender para a Cloud para executar diferentes tarefas relacionadas à segurança. No diagrama abaixo, segue-se um exemplo de pessoas fictícias e as respetivas funções e responsabilidades de segurança:
O Defender para a Cloud permite que essas pessoas cumpram essas várias responsabilidades. Por exemplo:
Jorge (Proprietário de Carga de Trabalho)
Gerencie uma carga de trabalho na nuvem e seus recursos relacionados.
Responsável pela implementação e manutenção de proteções de acordo com a política de segurança da empresa.
Ellen (CISO/CIO)
Responsável por todos os aspetos de segurança para a empresa.
Quer entender a postura de segurança da empresa em cargas de trabalho na nuvem.
Precisa ser informado sobre os principais ataques e riscos.
Diogo (Segurança de TI)
Define as políticas de segurança da empresa para garantir que as proteções apropriadas estejam em vigor.
Monitora a conformidade com as políticas.
Gera relatórios para liderança ou auditores.
Júlia (Operações de Segurança)
Monitoriza e responde a alertas de segurança a qualquer momento.
Escala-se para o responsável pela carga de trabalho na nuvem ou o analista de segurança da informação de TI.
Samuel (Analista de Segurança)
Investigue ataques.
Trabalhe com o Cloud Workload Owner para aplicar a correção.
O Defender para a Cloud usa o controle de acesso baseado em função do Azure (controle de acesso baseado em função do Azure), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure. Quando um usuário abre o Defender para a Cloud, ele vê apenas informações relacionadas aos recursos aos quais tem acesso. Isso significa que é atribuído ao utilizador a função de Proprietário, Contribuinte ou Leitor para a subscrição ou grupo de recursos a que pertence um recurso. Além dessas funções, há duas funções específicas do Defender para a Cloud:
Leitor de segurança: um usuário que pertence a essa função pode visualizar apenas as configurações do Defender para a Cloud, que incluem recomendações, alertas, políticas e integridade, mas não poderá fazer alterações.
Administrador de segurança: o mesmo que o leitor de segurança, mas também pode atualizar a política de segurança, descartar recomendações e alertas.
As personas explicadas no diagrama anterior precisam destas funções de controle de acesso baseadas em função do Azure:
Jorge (Proprietário de Carga de Trabalho)
- Proprietário/Colaborador do Grupo de Recursos.
Ellen (CISO/CIO)
- Proprietário/Colaborador da Subscrição ou Administrador de Segurança.
Diogo (Segurança de TI)
- Proprietário/Colaborador da Subscrição ou Administrador de Segurança.
Júlia (Operações de Segurança)
Leitor de Subscrição ou Leitor de Segurança para visualizar alertas.
Para rejeitar alertas, é necessário um Proprietário/Colaborador de Subscrição ou um Administrador de Segurança.
Samuel (Analista de Segurança)
Leitor de Subscrição para ver alertas.
O Proprietário/Colaborador da subscrição tem de rejeitar alertas.
O acesso ao espaço de trabalho pode ser necessário.
Mais algumas informações importantes a considerar:
Apenas os Proprietários/Contribuintes e os Administradores de Segurança das subscrições podem editar uma política de segurança.
Apenas os Proprietários e os Contribuintes do grupo de recursos e da subscrição podem aplicar recomendações de segurança a um recurso
Ao planejar o controle de acesso usando o controle de acesso baseado em função do Azure para o Defender para a Cloud, certifique-se de entender quem em sua organização precisa acessar o Defender para a Cloud as tarefas que eles executam. Em seguida, você pode configurar o controle de acesso baseado em função do Azure corretamente.
Note
Recomendamos que atribua a função menos permissiva necessária para que os utilizadores concluam as respetivas tarefas. Por exemplo, os utilizadores que apenas necessitam de ver informações acerca do estado de segurança dos recursos, mas não têm de tomar medidas, como aplicar as recomendações ou editar políticas, também devem ter atribuída a função de Leitor.
Recomendações e políticas de segurança
As políticas de segurança definem a configuração pretendida para as suas cargas de trabalho e ajudam a garantir a conformidade com os requisitos da empresa ou regulamentares. No Defender para a Cloud, você pode definir políticas para suas assinaturas do Azure, que podem ser adaptadas ao tipo de carga de trabalho ou à sensibilidade dos dados.
As políticas do Defender para a Cloud contêm os seguintes componentes:
Coleta de dados: provisionamento de agentes e configurações de coleta de dados.
Política de segurança: uma Política do Azure que determina quais controles são monitorados e recomendados pelo Defender para a Cloud. Você também pode usar a Política do Azure para criar novas definições, definir mais políticas e atribuir políticas entre grupos de gerenciamento.
Notificações por e-mail: contatos de segurança e configurações de notificação.
Escalão de preços: com ou sem os planos Defender do Microsoft Defender para Nuvem, que determinam quais funcionalidades do Defender para Nuvem estão disponíveis para recursos dentro do âmbito (podem ser definidos para assinaturas e espaços de trabalho usando a API).
Note
Especificar um contato de segurança garante que o Azure possa alcançar a pessoa certa em sua organização se ocorrer um incidente de segurança. Leia Fornecer detalhes de contato de segurança no Defender para a Cloud para obter mais informações sobre como habilitar essa recomendação.
Definições e recomendações de políticas de segurança
O Defender para a Cloud cria automaticamente uma política de segurança padrão para cada uma das suas assinaturas do Azure. Você pode editar a política no Defender para a Cloud ou usar a Política do Azure para criar novas definições, definir mais políticas e atribuir políticas entre grupos de gerenciamento. Os grupos de gerenciamento podem representar toda a organização ou uma unidade de negócios dentro da organização. Você pode monitorar a conformidade da política nesses grupos de gerenciamento.
Antes de configurar as políticas de segurança, reveja cada uma das recomendações de segurança:
Veja se essas políticas são apropriadas para suas várias assinaturas e grupos de recursos.
Entenda quais ações abordam as recomendações de segurança.
Determine quem em sua organização é responsável por monitorar e corrigir novas recomendações.
Armazenamento e recolha de dados
O Defender para a Cloud usa o Defender for Endpoint para coletar dados de segurança de suas máquinas virtuais. O Defender for Endpoint armazena os dados recolhidos na geolocalização do arrendatário, conforme identificada durante o provisionamento.
Note
A Microsoft assume fortes compromissos para proteger a privacidade e a segurança desses dados. A Microsoft respeita diretrizes rigorosas de conformidade e segurança, desde a codificação à operação de um serviço. Para obter mais informações sobre tratamento de dados e privacidade, leia Defender para a Cloud Data Security.
Recursos integrados que não são do Azure
O Defender para a Cloud pode monitorar a postura de segurança de seus computadores que não são do Azure, mas você precisa primeiro integrar esses recursos. Leia Computadores integrados que não são do Azure para obter mais informações sobre como integrar recursos que não sejam do Azure.
Monitorização de segurança em curso
Após a configuração inicial e a aplicação das recomendações do Defender para a Cloud, o próximo passo é considerar os processos operacionais do Defender para a Cloud.
A Visão geral do Defender para a Cloud fornece uma exibição unificada da segurança em todos os seus recursos do Azure e em todos os recursos que não são do Azure que você conectou. Este exemplo mostra um ambiente com muitos problemas para resolver:
Note
O Defender para a Cloud não interfere com os seus procedimentos operacionais normais. O Defender para a Cloud monitora passivamente suas implantações e fornece recomendações com base nas políticas de segurança habilitadas.
Quando optar pela primeira vez por utilizar o Defender para a Cloud para o seu ambiente atual do Azure, certifique-se de que revê todas as recomendações, o que pode ser feito na página Recomendações .
Considere visitar a opção informações sobre ameaças como parte das suas operações de segurança diárias. Aí, pode identificar ameaças de segurança relativas a cada ambiente, como, por exemplo, identificar se um determinado computador faz parte de um botnet.
Monitorar recursos novos ou alterados
A maioria dos ambientes do Azure é dinâmica, com recursos sendo criados regularmente, girados para cima ou para baixo, reconfigurados e alterados. O Defender para a Cloud ajuda a garantir que você tenha visibilidade do estado de segurança desses novos recursos.
Quando você adiciona novos recursos (VMs, SQL DBs) ao seu ambiente do Azure, o Defender para a Cloud descobre automaticamente esses recursos e começa a monitorar sua segurança, incluindo funções Web PaaS e funções de trabalho. Se a Coleta de Dados estiver habilitada na Política de Segurança, mais recursos de monitoramento serão habilitados automaticamente para suas máquinas virtuais.
Você também deve monitorar regularmente os recursos existentes em busca de alterações de configuração que possam ter criado riscos de segurança, desvio das linhas de base recomendadas e alertas de segurança.
Reforçar o acesso e as aplicações
Como parte das suas operações de segurança, deve também adotar medidas preventivas para limitar o acesso às VMs e controlar as aplicações que estão a ser executadas nas mesmas. Ao bloquear o tráfego de entrada para suas VMs do Azure, você está reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. Use o recurso de acesso just-in-time a VM para endurecer o acesso às suas VMs.
Resposta a incidentes
O Defender para a Cloud deteta e alerta-o para ameaças à medida que ocorrem. As organizações devem monitorizar a existência de novos alertas de segurança e tomar medidas conforme seja necessário para uma investigação mais aprofundada ou para remediar o ataque. Para obter mais informações sobre como funciona a proteção contra ameaças do Defender para a Cloud, leia Como o Defender para a Cloud deteta e responde a ameaças.
Embora não possamos criar seu plano de Resposta a Incidentes, usamos a Resposta de Segurança do Microsoft Azure no ciclo de vida da Nuvem como base para os estágios de resposta a incidentes. Os estágios de resposta a incidentes no ciclo de vida da nuvem são:
Note
Pode utilizar o Computer Security Incident Handling Guide (Guia de Processamento de Incidentes de Segurança Informática) do National Institute of Standards and Technology (NIST) (Instituto Nacional de Normas e Tecnologia dos Estados Unidos) como referência para o ajudar a criar o seu próprio.
Você pode usar os alertas do Defender para a Cloud durante as seguintes etapas:
Detetar: identifique uma atividade suspeita num ou mais recursos.
Avaliar: efetue a avaliação inicial para obter mais informações sobre a atividade suspeita.
Diagnosticar: utilize os passos de remediação para realizar o procedimento técnico para resolver o problema.
Cada Alerta de Segurança faculta informações que podem ser utilizadas para compreender melhor a natureza do ataque e sugerir possíveis mitigações. Alguns alertas também fornecem ligações para mais informações ou para outras fontes de informação no Azure. Pode utilizar as informações fornecidas para uma pesquisa aprofundada e começar a mitigação, e também pode pesquisar os dados relacionados com a segurança que estejam armazenados na área de trabalho.
O exemplo seguinte mostra uma atividade suspeita de RDP em curso:
Esta página mostra os detalhes acerca do momento em que ocorreu o ataque, o nome do anfitrião de origem, a VM visada e também fornece passos recomendados. Em algumas circunstâncias, a informação de origem do ataque pode estar vazia. Leia Informações de origem ausentes nos alertas do Defender para a Cloud para obter mais informações sobre esse tipo de comportamento.
Depois de identificar o sistema comprometido, você pode executar uma automação de fluxo de trabalho que foi criada anteriormente. As automações de fluxo de trabalho são uma coleção de procedimentos que podem ser executados a partir do Defender para a Cloud uma vez acionados por um alerta.
Note
Leia Gerenciando e respondendo a alertas de segurança no Defender para a Cloud para obter mais informações sobre como usar os recursos do Defender para a Cloud para ajudá-lo durante o processo de resposta a incidentes.
Próximos passos
Neste documento, você aprendeu como planejar a adoção do Defender para a Cloud. Saiba mais sobre o Defender para a Cloud:
- Gerir e responder a alertas de segurança no Defender para a Cloud
- Monitoramento de soluções de parceiros com o Defender para a Cloud - Saiba como monitorar o status de integridade de suas soluções de parceiros.
- Perguntas comuns do Defender para a Cloud - Encontre perguntas frequentes sobre o uso do serviço.
- Blog de Segurança do Azure - Leia postagens de blog sobre segurança e conformidade do Azure.