Partilhar via

Perguntas frequentes - Perguntas gerais

Perguntas gerais

O que é o Microsoft Defender para a Cloud?

O Microsoft Defender para a Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos. Fornece gestão de políticas e monitorização de segurança integrada nas suas subscrições, ajuda a detetar ameaças que caso contrário podem passar despercebidas e funciona com um ecossistema abrangente de soluções de segurança.

O Defender para a Cloud utiliza componentes de monitorização para recolher e armazenar dados. Para detalhes detalhados, veja Recolha de dados em Microsoft Defender para a Cloud.

Como posso obter o Microsoft Defender para a Cloud?

Microsoft Defender para a Cloud está ativado com a sua subscrição Microsoft Azure e acede a partir do portal Azure. Para aceder a ela, iniciar sessão no portal, selecionar Browse e deslocar-se até Defender para a Cloud.

Existe uma versão de teste do Defender para a Cloud?

Defender para a Cloud é gratuito durante os primeiros 30 dias. Qualquer utilização superior a 30 dias é automaticamente cobrada de acordo com o esquema de preços. Mais informações. Note que a análise de malware no Defender for Storage não está incluída gratuitamente no primeiro período experimental de 30 dias e será cobrada a partir do primeiro dia.

Quais recursos do Azure são monitorizados pelo Microsoft Defender para a Cloud?

O Microsoft Defender para a Cloud monitoriza os seguintes recursos do Azure:

Defender para a Cloud também protege recursos on-premises e recursos multicloud, incluindo Amazon AWS e Google Cloud.

Como posso ver o estado atual de segurança dos meus recursos Azure, multicloud e on-premises?

A página Defender para a Cloud Overview mostra a postura geral de segurança do seu ambiente, dividida por Computação, Redes, Armazenamento & dados, e Aplicações. Cada tipo de recurso tem um indicador que mostra as vulnerabilidades de segurança identificadas. Selecionar cada tile apresenta uma lista de problemas de segurança identificados pelo Defender para a Cloud, juntamente com um inventário dos recursos da sua subscrição.

O que é uma iniciativa de segurança?

Uma iniciativa de segurança define o conjunto de controles (políticas) recomendados para recursos dentro da assinatura especificada. No Microsoft Defender para a Cloud, atribui iniciativas para as suas subscrições Azure, contas AWS e projetos GCP de acordo com os requisitos de segurança da sua empresa e o tipo de aplicações ou sensibilidade dos dados em cada subscrição.

As políticas de segurança ativadas no Microsoft Defender para a Cloud impulsionam recomendações e monitorização de segurança. Saiba mais em O que são políticas, iniciativas e recomendações de segurança?.

Quem pode modificar uma política de segurança?

Para modificar uma política de segurança, tem de ser um Administrador de Segurança ou um Proprietário dessa subscrição.

Para aprender a configurar uma política de segurança, consulte Definir políticas de segurança em Microsoft Defender para a Cloud.

O que é uma recomendação de segurança?

O Microsoft Defender para a Cloud analisa o estado de segurança dos seus recursos Azure, multicloud e on-premises. Quando potenciais vulnerabilidades de segurança são identificadas, são criadas recomendações. As recomendações guiam você pelo processo de configuração do controle necessário. Os exemplos são:

  • Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado
  • Grupos de segurança de rede e regras para controlar o tráfego para máquinas virtuais
  • Provisionamento de um firewall de aplicativo Web para ajudar a se defender contra ataques direcionados a seus aplicativos Web
  • Implementação de atualizações do sistema em falta
  • Gerir configurações do sistema operativo que não correspondem às recomendações básicas recomendadas.

Apenas as recomendações ativadas nas Políticas de Segurança são mostradas aqui.

O que aciona um alerta de segurança?

O Microsoft Defender para a Cloud recolhe, analisa e funde automaticamente os dados de registo dos seus recursos Azure, multicloud e on-premises, da rede e de soluções parceiras como anti-malware e firewalls. Quando são detetadas ameaças, é criado um alerta de segurança. Os exemplos incluem a deteção de:

  • As máquinas virtuais comprometidas que estão a comunicar com endereços IP maliciosos conhecidos
  • Malware avançado detetado através do relatório de erros do Windows
  • Ataques de força bruta contra máquinas virtuais
  • Alertas de segurança de soluções de segurança integradas de parceiros como Antimalware ou Firewalls de Aplicações Web

Qual é a diferença entre ameaças detetadas e alertadas pelo Centro de Resposta de Segurança da Microsoft e Microsoft Defender para a Cloud?

O Centro de Resposta de Segurança da Microsoft (MSRC) realiza monitorização de segurança selecionada da rede e infraestrutura do Azure e recebe queixas de inteligência de ameaças e abuso de terceiros. Quando a MSRC toma conhecimento de que os dados do cliente foram acedidos por uma parte ilegal ou não autorizada ou que a utilização do Azure pelo cliente não cumpre os termos de Utilização Aceitável, um gestor de incidentes de segurança notifica o cliente. A notificação ocorre normalmente enviando um email para os contactos de segurança especificados no Microsoft Defender para a Cloud ou para o proprietário da subscrição do Azure, caso não seja especificado um contacto de segurança.

Defender para a Cloud é um serviço Azure que monitoriza continuamente o Azure, multicloud e ambiente local do cliente, aplicando análises para detetar automaticamente uma vasta gama de atividades potencialmente maliciosas. Essas deteções são exibidas como alertas de segurança no painel de proteção da carga de trabalho.

Como posso rastrear quem na minha organização ativou um plano Microsoft Defender no Defender para a Cloud?

As subscrições do Azure podem ter vários administradores com permissões para alterar as definições de preços. Para saber qual utilizador fez uma alteração, use o Registo de Atividade do Azure.

Captura de ecrã do registo de atividade Azure a mostrar um evento de alteração de preço.

Se as informações do usuário não estiverem listadas na coluna Evento iniciado por , explore o JSON do evento para obter os detalhes relevantes.

Captura de ecrã do explorador JSON do registo de atividade Azure.

O que acontece quando uma recomendação está incluída em várias iniciativas políticas?

Às vezes, uma recomendação de segurança aparece em mais de uma iniciativa política. Se você tiver várias instâncias da mesma recomendação atribuídas à mesma assinatura e criar uma isenção para a recomendação, isso afetará todas as iniciativas que você tem permissão para editar.

Se tentar criar uma isenção para esta recomendação, verá uma das duas seguintes mensagens:

  • Se você tiver as permissões necessárias para editar ambas as iniciativas, você verá:

    Esta recomendação está incluída em várias iniciativas políticas: [nomes das iniciativas separados por vírgula]. Serão criadas isenções para todos eles.

  • Se você não tiver permissões suficientes em ambas as iniciativas, verá esta mensagem:

    Você tem permissões limitadas para aplicar a isenção em todas as iniciativas políticas, as isenções serão criadas apenas nas iniciativas com permissões suficientes.

Há alguma recomendação que não suporte a isenção?

Estas recomendações geralmente disponíveis não suportam a isenção:

  • Todos os tipos avançados de proteção contra ameaças devem ser habilitados nas configurações avançadas de segurança de dados da instância gerenciada SQL
  • Todos os tipos de proteção avançada contra ameaças devem estar ativados nas definições da segurança de dados avançada no servidor SQL
  • Auditar o uso de funções RBAC personalizadas
  • Os limites de CPU e memória do contêiner devem ser impostos
  • As imagens de contenedor devem ser desplegadas apenas a partir de registos confiáveis
  • Contêiner com escalonamento de privilégios deve ser evitado
  • Contêineres que compartilham namespaces de host confidenciais devem ser evitados
  • Os contentores devem escutar apenas nos portos permitidos
  • A Política de Filtro IP Padrão deve ser Negar
  • O monitoramento da integridade de arquivos deve ser habilitado em máquinas
  • O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres
  • Dispositivos IoT - Portas disponíveis no dispositivo
  • Dispositivos IoT - Foi encontrada uma política de firewall permissiva numa das cadeias
  • Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de entrada
  • Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de saída
  • Regra de filtro IP para um grande intervalo de IP
  • Os clusters Kubernetes devem ser acessíveis somente por HTTPS
  • Os clusters Kubernetes devem desativar a montagem automática das credenciais da API
  • Os clusters Kubernetes não devem usar o namespace padrão
  • Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
  • Capacidades Linux menos privilegiadas devem ser impostas a contenedores
  • A substituição ou desativação do perfil AppArmor de contêineres deve ser restrita
  • Contentores privilegiados devem ser evitados
  • A execução de contêineres como usuário raiz deve ser evitada
  • Os serviços devem escutar apenas nas portas permitidas
  • Os servidores SQL devem ter um administrador Microsoft Entra provisionado
  • O uso de rede de anfitrião e portas deve ser restrito
  • O uso de montagens de volume do pod HostPath deve ser limitado a uma lista conhecida para restringir o acesso ao nó a partir de contentores comprometidos.
  • As APIs do API Management do Azure devem ser registadas no Defender para APIs
  • Os endpoints de API não utilizados devem ser desativados e removidos das Aplicações de Função (Visualização)
  • Endpoints de API não utilizados devem ser desabilitados e removidos dos Logic Apps (Preview)
  • A autenticação deve estar ativada nos endpoints API alojados em Function Apps (Preview)
  • A autenticação deve estar ativada nos endpoints API alojados em Logic Apps (Preview)

Existem limitações nas proteções de identidade e acesso do Defender para a Cloud?

Existem algumas limitações nas proteções de identidade e acesso do Defender para a Cloud:

  • As recomendações de identidade não estão disponíveis para assinaturas com mais de 6.000 contas. Nesses casos, esses tipos de assinaturas estão listados na guia Não aplicável.
  • As recomendações de identidade não estão disponíveis para os agentes administrativos do parceiro Fornecedor de Soluções em Nuvem (CSP).
  • As recomendações de identidade avaliam atribuições de funções, incluindo as elegíveis para PIM, mas atualmente não diferenciam o risco com base nos fluxos de trabalho de ativação do PIM ou nos requisitos de aprovação. Isto pode resultar em descobertas que incluem identidades geridas por PIM.
  • As recomendações de identidade não suportam políticas de acesso condicional do Microsoft Entra que incluem Directory Roles em vez de utilizadores e grupos.

Quais sistemas operacionais para minhas instâncias do EC2 são suportados?

Para obter uma lista das AMIs com o Agente do SSM pré-instalado, consulte esta página nos documentos da AWS.

Para outros sistemas operacionais, o Agente do SSM deve ser instalado manualmente usando as seguintes instruções:

Para o plano CSPM, quais permissões do IAM são necessárias para descobrir recursos da AWS?

As seguintes permissões do IAM são necessárias para descobrir recursos da AWS:

Coletor de dados Permissões da AWS
Gateway de API apigateway:GET
Auto Scaling de Aplicações application-autoscaling:Describe*
Dimensionamento automático autoscaling-plans:Describe*
autoscaling:Describe*
Gestor de certificados acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch [en] cloudwatch:Describe*
cloudwatch:List*
Logs do CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Serviço de configuração config:Describe*
config:List*
DMS - serviço de migração de banco de dados dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
EC2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB - balanceamento de carga elástico (v1/2) elasticloadbalancing:Describe*
Elasticsearch es:Describe*
es:List*
EMR - redução de mapa elástico elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Firewall da rede network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift [en] redshift:Describe*
S3 e S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Gestor secreto secretsmanager:Describe*
secretsmanager:List*
Serviço de notificação simples SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Existe alguma API para ligar os meus recursos GCP ao Defender para a Cloud?

Sim. Para criar, editar ou eliminar conectores de cloud do Defender para a Cloud com uma API REST, consulte os detalhes da API Connectors.

Que regiões GCP são suportadas pelo Defender para a Cloud?

O Defender para a Cloud suporta e analisa todas as regiões disponíveis na cloud pública GCP.

A automação do fluxo de trabalho oferece suporte a qualquer cenário de continuidade de negócios ou recuperação de desastres (BCDR)?

Ao preparar o seu ambiente para cenários BCDR, onde o recurso alvo está a sofrer uma falha ou outro desastre, é responsabilidade da organização evitar a perda de dados estabelecendo backups de acordo com as diretrizes do Hubs de Eventos do Azure, Log Analytics workspace e Logic Apps.

Para cada automação ativa, recomendamos que você crie uma automação idêntica (desativada) e armazene-a em um local diferente. Quando há uma interrupção, você pode habilitar essas automações de backup e manter as operações normais.

Saiba mais sobre Continuidade do negócio e recuperação de desastres para Azure Logic Apps.

Quais são os custos envolvidos na exportação de dados?

Não há custo para permitir uma exportação contínua. Podem ser incorridos custos para a ingestão e retenção de dados no seu espaço de trabalho Log Analytics, dependendo da sua configuração aí.

Muitos alertas só são fornecidos quando ativas os planos Defender para os teus recursos. Uma boa forma de pré-visualizar os alertas que recebe nos seus dados exportados é ver os alertas mostrados nas páginas do Defender para a Cloud no portal Azure.

Saiba mais sobre preços do espaço de trabalho do Log Analytics.

Saiba mais sobre Hubs de Eventos do Azure preços.

Para informações gerais sobre preços Defender para a Cloud, consulte a página preços.

A exportação contínua inclui dados sobre o estado atual de todos os recursos?

N.º A exportação contínua é criada para streaming de eventos:

  • Os alertas recebidos antes de ativar a exportação não são exportados.
  • As recomendações são enviadas sempre que o estado de conformidade de um recurso muda. Por exemplo, quando um recurso passa de saudável para insalubre. Portanto, como acontece com os alertas, as recomendações para recursos que não mudaram de estado desde que você habilitou a exportação não serão exportadas.
  • Pontuação de segurança por controlo de segurança ou subscrição é atualizada quando a pontuação de um controlo de segurança muda em 0,01 ou mais.
  • O status de conformidade regulatória é enviado quando o status de conformidade do recurso muda.

Por que motivo é que as recomendações são enviadas em intervalos diferentes?

Diferentes recomendações têm diferentes intervalos de avaliação de conformidade, que podem variar de poucos minutos a poucos dias. Assim, o tempo necessário para que as recomendações apareçam nas suas exportações varia.

Como posso obter uma consulta de exemplo para uma recomendação?

Para obter uma consulta de exemplo para uma recomendação, abra a recomendação em Defender para a Cloud, selecione Consulta aberta e depois selecione Consulta retornando resultados de segurança.

Captura de tela de como criar uma consulta de exemplo para recomendação.

A exportação contínua oferece suporte a qualquer cenário de continuidade de negócios ou recuperação de desastres (BCDR)?

A exportação contínua pode ser útil na preparação para cenários BCDR em que o recurso de destino está passando por uma interrupção ou outro desastre. No entanto, é responsabilidade da organização evitar a perda de dados estabelecendo backups de acordo com as diretrizes do Hubs de Eventos do Azure, Log Analytics workspace e Logic App.

Saiba mais em Hubs de Eventos do Azure - Geo-disaster recovery.

Posso atualizar programaticamente vários planos em uma única assinatura simultaneamente?

Não recomendamos a atualização programática de vários planos em uma única assinatura simultaneamente (via API REST, modelos ARM, scripts, etc.). Ao usar a Microsoft.Security/pricings API, ou qualquer outra solução programática, deve inserir um atraso de 10–15 segundos entre cada pedido.

Quando ativo o acesso por defeito, em que situações preciso de voltar a executar o template Cloud Formation, o script do Cloud Shell ou o template do Terraform?

Modificações nos planos do Defender para a Cloud ou nas suas opções, incluindo funcionalidades dentro desses planos, exigem a execução do modelo de implementação. Isso se aplica independentemente do tipo de permissão selecionado durante a criação do conector de segurança. Se as regiões foram alteradas, como nesta captura de ecrã, não precisa de recorrer ao template Cloud Formation ou ao script Cloud Shell.

Captura de ecrã que mostra uma alteração na região.

Quando você configura tipos de permissão, o acesso com privilégios mínimos oferece suporte a recursos disponíveis no momento em que o modelo ou script foi executado. Novos tipos de recursos só podem ser suportados executando novamente o modelo ou script.

Captura de tela que mostra a seleção de tipos de permissão.

Se mudar a região ou o intervalo de varrimento do meu conector AWS, preciso de voltar a executar o modelo do CloudFormation ou o script do Cloud Shell?

Não, se a região ou intervalo de varrimento for alterado, não há necessidade de repetir o modelo CloudFormation ou o script Cloud Shell. As alterações serão aplicadas automaticamente.

Como funciona a integração de uma conta de organização ou gestão AWS no Microsoft Defender para a Cloud?

A integração de uma organização ou de uma conta de gestão na Microsoft Defender para a Cloud inicia o processo de implantação de um StackSet. O StackSet inclui as funções e permissões necessárias. O StackSet também propaga as permissões necessárias em todas as contas dentro da organização.

As permissões incluídas permitem que o Microsoft Defender para a Cloud entregue as funcionalidades de segurança selecionadas através do conector criado no Defender para a Cloud. As permissões também permitem que o Defender para a Cloud monitorize continuamente todas as contas que possam ser adicionadas através do serviço de auto-provisionamento.

O Defender para a Cloud é capaz de identificar a criação de novas contas de gestão e pode aproveitar as permissões concedidas para provisionar automaticamente um conector de segurança equivalente para cada conta membro.

Esta funcionalidade está disponível apenas para integração organizacional e permite ao Defender para a Cloud criar conectores para contas recém-adicionadas. A funcionalidade também permite que o Defender para a Cloud edite todos os conectores de membros quando a conta de gestão é editada, elimine todas as contas de membro quando a conta de gestão é eliminada, e remova contas específicas de membro se a conta correspondente for removida.

Uma pilha separada deve ser implantada especificamente para a conta de gestão.

Sem agente

Será que a verificação sem agente analisa as VMs desalocadas?

N.º A verificação sem agente não verifica VMs desalocadas.

A análise sem agente analisa o disco do sistema operativo e os discos de dados?

Sim. A verificação sem agente verifica o disco do sistema operacional e os discos de dados.

A que horas do dia a minha VM é verificada, incluindo a hora de início e de fim?

A hora do dia é dinâmica e pode mudar em diferentes contas e subscrições.

Existe alguma telemetria em relação ao snapshot copiado?

Na AWS, as operações na conta do cliente são rastreáveis por meio do CloudTrail.

Quais dados são coletados de instantâneos?

A verificação sem agente coleta dados semelhantes aos dados que um agente coleta para executar a mesma análise. Dados brutos, PIIs ou dados empresariais sensíveis não são recolhidos, e apenas os resultados dos metadados são enviados para o Defender para a Cloud.

Onde os instantâneos de disco são copiados?

A análise dos instantâneos realiza-se em ambientes seguros geridos pela Defender para a Cloud.

Os ambientes são regionais em multicloud, de modo que os snapshots permanecem na mesma região de nuvem da VM de onde se originaram (por exemplo, um snapshot de uma instância do EC2 no oeste dos EUA é analisado na mesma região, sem ser copiado para outra região ou nuvem).

O ambiente de varredura onde os discos são analisados é volátil, isolado e altamente seguro.

Como é gerido o snapshot do disco na conta Microsoft? A Microsoft pode partilhar os princípios de segurança e privacidade da plataforma de análise sem agente?

A plataforma de verificação sem agente é auditada em conformidade com os rigorosos padrões de segurança e privacidade da Microsoft. Algumas das medidas tomadas são (não uma lista exaustiva):

  • Isolamento físico por região, isolamento adicional por cliente e subscrição
  • Encriptação E2E de dados em repouso e em trânsito
  • Instantâneos de disco imediatamente eliminados após a verificação
  • Apenas metadados (ou seja, descobertas de segurança) saem do ambiente de varredura isolado
  • O ambiente de digitalização é autónomo
  • Todas as operações são auditadas internamente

Quais são os custos relacionados à varredura sem agente?

A varredura sem agente está incluída nos planos P2 do Defender Cloud Security Posture Management (CSPM) e do Defender for Servers. Não há outros custos associados ao Defender para a Cloud ao ativar.

Observação

A AWS cobra pela retenção de snapshots de disco. O processo de análise do Defender para a Cloud tenta ativamente minimizar o período durante o qual um snapshot é armazenado na sua conta (normalmente até alguns minutos). AWS pode cobrar um custo adicional pelo armazenamento de snapshots de disco. Consulte a AWS para ver quais custos se aplicam a você.

Como posso acompanhar os custos da AWS incorridos pelos snapshots de disco criados pelo Defender para a Cloud agentless scanning?

Os snapshots de disco são criados com a chave de etiqueta CreatedBy e o valor da etiqueta Microsoft Defender para a Cloud. A CreatedBy tag rastreia quem criou o recurso. Você precisa ativar as tags no console de Gerenciamento de Faturamento e Custos. Pode levar até 24 horas para que as tags sejam ativadas.

Próximos passos

Aprenda sobre as novidades em Defender para a Cloud