Compartilhar via

Revisar as recomendações de segurança

No Microsoft Defender para Nuvem, recursos e cargas de trabalho são avaliados em relação a políticas de segurança internas e personalizadas e estruturas de conformidade regulatória, que você aplica em seus ambientes de nuvem (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e muito mais). Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para corrigir problemas de segurança e melhorar sua postura de segurança.

O Defender para Nuvem usa um mecanismo dinâmico que avalia proativamente os riscos em seu ambiente. Ele considera o potencial de exploração e o potencial impacto nos negócios em sua organização. O mecanismo prioriza as recomendações de segurança com base nos fatores de risco de cada recurso. O contexto do ambiente determina esses fatores de risco.

Pré-requisitos

As recomendações são incluídas no Defender para Nuvem, mas você não pode ver a priorização de risco , a menos que habilite o Defender CSPM em seu ambiente.

Examinar a página de recomendações

Examine as recomendações e verifique se todos os detalhes estão corretos antes de resolvê-las.

  1. Entre no portal do Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

Observação

Este recurso está na versão preview no momento. Para obter detalhes sobre as lacunas e restrições atuais, consulte limitações conhecidas.

A página Recomendações no Gerenciamento de Exposições fornece uma lista priorizada de ações de segurança projetadas para melhorar sua postura de segurança na nuvem, abordando vulnerabilidades, configurações incorretas e segredos expostos. Essas recomendações são classificadas por risco efetivo, ajudando as equipes de segurança a se concentrarem nas ameaças mais críticas primeiro.

  1. Inicie uma sessão no portal do Microsoft Defender.

  2. Vá para a guia Gerenciamento de Exposição>Recomendações>Nuvem.

    Captura de tela da página Recomendações no Portal do Defender.

  3. Aplique filtros como:

    • Ativo exposto: filtrar por ativos com exposição a ameaças.
    • Fatores de risco do ativo: filtrar por condições de risco específicas.
    • Ambiente: filtrar pelo Azure, AWS ou GCP.
    • Carga de trabalho: filtrar por tipos de carga de trabalho específicos.
    • Maturidade da recomendação: Filtrar por nível de prontidão da recomendação.

  4. No lado esquerdo da página, você pode optar por exibir recomendações por categoria de segurança:

    • Todas as recomendações: lista completa de recomendações de segurança.
    • Configurações incorretas: problemas de segurança relacionados à configuração.
    • Vulnerabilidades: vulnerabilidades de software que exigem patches.
    • Segredos expostos: credenciais e segredos que podem ser comprometidos.

    Observação

    Quando você seleciona um filtro de categoria de segurança, a lista de recomendações e os cartões de resumo são atualizados para refletir apenas as recomendações nessa categoria.

Cartões de resumo de recomendações

Para cada exibição, a página exibe cartões de resumo que fornecem uma visão geral da sua postura de segurança na nuvem:

  • Pontuação de segurança na nuvem: mostra sua integridade geral de segurança na nuvem com base nas recomendações de segurança em seu ambiente.
  • Histórico de pontuação: acompanha as mudanças no Secure Score nos últimos sete dias, ajudando você a identificar tendências e medir melhorias.
  • Recomendações por nível de risco: resume o número de recomendações de segurança ativas, categorizadas por gravidade (Crítico, Alto, Médio, Baixo).
  • Como o nível de risco é calculado: explica como as classificações de severidade e os fatores de risco específicos do ativo são combinados para determinar o nível de risco geral para cada recomendação.

Exibições de recomendação

O portal do Defender fornece duas maneiras distintas de exibir e interagir com recomendações:

Recomendação por visão de ativo

Essa exibição exibe uma lista de todas as recomendações organizadas por ativos individuais, ordenadas pelo nível de risco. Cada linha representa uma única recomendação que afeta um recurso específico.

Quando você seleciona uma linha de recomendação, um painel lateral é aberto exibindo:

  • Visão geral: informações gerais sobre a recomendação, incluindo sua descrição, detalhes do ativo exposto e outras especificações de recomendação relevantes
  • Etapas de correção: diretrizes acionáveis para resolver o problema de segurança
  • Visualização do mapa: exibe todos os caminhos de ataque relacionados que passam pelo ativo, agregados pelo tipo de nó de destino. Você pode:
    • Selecione um caminho agregado para revelar todos os ataques associados e caminhos adicionais
    • Selecione um caminho específico para exibir sua visualização detalhada
  • Iniciativas relacionadas: iniciativas de segurança e estruturas de conformidade associadas à recomendação
  • Abas adicionais podem aparecer para recomendações específicas com informações contextuais relevantes

Exibição do título da recomendação

Essa exibição agrega recomendações por título, mostrando uma lista consolidada ordenada pelo nível de risco. Cada linha representa todas as instâncias de uma recomendação específica em seu ambiente.

Quando você seleciona uma linha de recomendação agregada, um painel lateral é aberto exibindo:

  • Visão geral: informações gerais, incluindo a descrição da recomendação, a distribuição em nível de risco entre os recursos afetados, o status de governança e outros detalhes relevantes
  • Etapas de correção: diretrizes acionáveis para resolver o problema de segurança
  • Ativos expostos: uma lista de todos os recursos afetados por essa recomendação
  • Iniciativas relacionadas: iniciativas de segurança e estruturas de conformidade associadas à recomendação
  • Abas adicionais podem aparecer para recomendações específicas com informações contextuais relevantes.

Captura de tela do painel lateral de recomendações.

Caminhos de acesso alternativos para recomendações:

  • Infraestrutura de nuvem>Visão geral>Postura de segurança>Recomendações> de segurançaExibir recomendações
  • Gerenciamento de Exposição>Iniciativas>Segurança da Nuvem>Página Iniciativa aberta>Guia Recomendações de Segurança

Observação

Por que você pode ver recursos diferentes entre o portal do Azure e o portal do Defender:

  • Recursos excluídos: você pode observar os recursos excluídos que ainda estão sendo exibidos no portal do Azure. Essa condição ocorre porque o portal do Azure mostra atualmente o último estado conhecido dos recursos. A equipe do produto está trabalhando para corrigir essa condição para que os recursos excluídos não apareçam mais.
  • Recursos do Azure Policy: alguns recursos provenientes do Azure Policy podem não aparecer no portal do Defender. Durante a visualização, o portal exibe apenas recursos que têm contexto de segurança e contribuem para insights de segurança significativos.
  • Atualmente, os recursos vinculados a assinaturas gratuitas não são exibidos no portal do Defender.

Noções básicas sobre a priorização de risco no portal do Defender

A experiência de Gerenciamento de Exposição no portal do Defender fornece recursos avançados de priorização de risco que ajudam as equipes de segurança a se concentrarem nas ameaças mais críticas. O mecanismo de avaliação de risco dinâmico do Microsoft Defender para Nuvem avalia os riscos em seu ambiente, considerando o potencial de exploração e o potencial impacto nos negócios para sua organização.

As recomendações no portal do Defender são priorizadas automaticamente com base no risco efetivo, que leva em conta vários fatores contextuais sobre cada recurso e seu ambiente. Essa abordagem baseada em risco garante que as equipes de segurança possam resolver os problemas de segurança mais críticos primeiro, tornando os esforços de correção mais eficientes e eficazes.

Filtragem e priorização baseadas em risco

O portal do Defender oferece recursos avançados de filtragem que permitem que você se concentre em recomendações com base em fatores de risco:

  • Ativos expostos: filtrar por recursos que têm exposição direta a ameaças, como recursos voltados para a Internet ou recursos com configurações vulneráveis.
  • Fatores de risco de ativos: focar em condições de risco específicas, como sensibilidade de dados, potencial de movimentação lateral ou exposição crítica à infraestrutura.
  • Detalhamento no nível de risco: veja as recomendações categorizadas por níveis de risco Crítico, Alto, Médio e Baixo.
  • Integração de caminho de ataque: Focalize nas recomendações que fazem parte dos caminhos de ataque identificados.

Cálculo de risco no Gerenciamento de Exposições

A experiência de Gerenciamento de Exposição unificada calcula os níveis de risco usando um mecanismo com reconhecimento de contexto que considera:

  • Contexto ambiental: configuração de recursos, topologia de rede e postura de segurança.
  • Fatores de explorabilidade: quão facilmente um invasor pode explorar a vulnerabilidade.
  • Impacto nos negócios: as possíveis consequências se o problema de segurança foi explorado.
  • Superfície de ataque: a exposição do recurso a possíveis ameaças.
  • Análise de ponto de estrangulamento: se o recurso serve como uma junção crítica em possíveis caminhos de ataque.

Níveis de risco no portal do Defender

O portal do Defender classifica as recomendações em cinco níveis de risco:

  • Crítico: os problemas de segurança mais graves com exploração imediata e alto impacto nos negócios que exigem atenção urgente.
  • Alto: Riscos de segurança significativos que devem ser resolvidos imediatamente, mas podem não exigir ação imediata
  • Médio: problemas de segurança moderados que podem ser resolvidos como parte da manutenção de segurança regular
  • Baixo: problemas de segurança menores que podem ser resolvidos à sua conveniência durante operações de rotina
  • Não avaliado: recomendações que não são avaliadas por risco, normalmente devido a limitações de cobertura de recursos.

Detalhes aprimorados da recomendação

Cada recomendação no portal do Defender fornece um contexto de risco abrangente:

  • Resumo da avaliação de risco: cálculo geral de risco e fatores contribuintes.
  • Mapeamento de superfície de ataque: representação visual de como o recurso se relaciona a possíveis cenários de ataque.
  • Correlação de iniciativa: conexão com iniciativas de segurança mais amplas e estruturas de conformidade.
  • Associações de EVC: Links para as Vulnerabilidades e Exposições Comuns relevantes, quando aplicável.
  • Contexto histórico: tendências e alterações nos níveis de risco ao longo do tempo.

Na página de recomendação, examine os seguintes detalhes:

  • Nível de risco: a vulnerabilidade e o efeito comercial do problema de segurança subjacente, considerando o contexto do recurso ambiental, como exposição à Internet, dados confidenciais, movimentação lateral e muito mais.
  • Fatores de risco: fatores ambientais do recurso afetado pela recomendação, que influenciam a vulnerabilidade e o efeito empresarial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados confidenciais e potencial de movimentação lateral.
  • Recurso: o nome do recurso afetado.
  • Status: o status da recomendação, como não atribuído, no prazo ou vencido.
  • Descrição: uma breve descrição do problema de segurança.
  • Caminhos de ataque: o número de caminhos de ataque.
  • Escopo: a assinatura ou o recurso afetado.
  • Frescor: o intervalo de frescor da recomendação.
  • Data da última alteração: a data em que essa recomendação foi alterada pela última vez.
  • Gravidade: a gravidade da recomendação: Alta, Média ou Baixa. Mais detalhes são fornecidos posteriormente neste artigo.
  • Proprietário: a pessoa atribuída à recomendação.
  • Data de conclusão: a data de conclusão atribuída para resolver a recomendação.
  • Táticas e técnicas: as táticas e técnicas mapeadas para MITRE ATT&CK.

Explorar uma recomendação

Você pode interagir com recomendações de várias maneiras. Se uma opção não estiver disponível, essa opção não será relevante para a recomendação.

  1. Entre no portal do Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Em Executar ação:

    • Correção: uma descrição das etapas manuais necessárias para resolver o problema de segurança nos recursos afetados. Para recomendações com a opção Correção , você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.
    • Proprietário da recomendação e data de conclusão definida: se você habilitar uma regra de governança para a recomendação, poderá atribuir um proprietário e uma data de conclusão.
    • Isentar: você pode isentar recursos da recomendação ou desabilitar descobertas específicas usando regras de desabilitação.
    • Automação de fluxo de trabalho: defina um aplicativo lógico para disparar com a recomendação.

    Captura de tela que mostra o que você pode ver na recomendação ao selecionar a guia Executar ação.

  5. Em Conclusões, revisar os achados afiliados por gravidade.

    Captura de tela que mostra a aba de descobertas em uma recomendação, incluindo todos os caminhos de ataque para essa recomendação.

  6. No Graph, exiba e investigue todo o contexto usado para priorização de risco, incluindo caminhos de ataque. Você pode selecionar um nó em um caminho de ataque para exibir os detalhes do nó selecionado.

    Captura de tela que mostra a aba Gráfico em uma recomendação, incluindo todos os caminhos de ataque para essa recomendação.

  7. Para exibir detalhes adicionais, selecione um nó.

    Captura de tela que mostra a aba de Grafo com um nó selecionado, exibindo detalhes adicionais.

  8. Selecione Insights.

  9. Para exibir detalhes, selecione uma vulnerabilidade no menu suspenso.

    Captura de tela da guia Insights de um nó.

  10. (Opcional) Para exibir a página de recomendação associada, selecione Abrir a página de vulnerabilidade.

  11. Corrija a recomendação.

No portal do Defender, você pode interagir com recomendações de várias maneiras por meio da experiência de Gerenciamento de Exposição. Depois de selecionar uma recomendação na guia Gerenciamento>de Exposição>Recomendações de Nuvem, você poderá explorar informações detalhadas e tomar medidas.

Aplique filtros e conjuntos de filtros, como ativo exposto, fatores de risco de ativo, ambiente, carga de trabalho, maturidade da recomendação e outros.

No painel de navegação esquerdo, você pode optar por exibir todas as recomendações ou exibir por uma categoria específica.

Existem exibições separadas para tipos de problema:

  • Configurações incorretas
  • Vulnerabilidades
  • Segredos expostos

Para cada exibição, você verá a Pontuação segura da nuvem, o histórico de pontuação, a recomendação por nível de risco e como o risco é calculado.

Observação

No portal do Defender, algumas recomendações que apareceram anteriormente como um único item agregado agora são exibidas como várias recomendações individuais. Essa alteração reflete uma mudança do agrupamento de descobertas relacionadas em uma recomendação para listar cada recomendação separadamente.

  • Você pode ver uma lista mais longa de recomendações em comparação com antes. As descobertas combinadas (como vulnerabilidades, segredos expostos ou configurações errôneas) agora aparecem como recomendações individuais em vez de aninhadas em uma recomendação principal.
  • As recomendações agrupadas antigas ainda aparecem lado a lado com o novo formato por enquanto, mas eventualmente são preteridas.
  • Essas recomendações são indicadas como Prévia. Essa marca indica que a recomendação está em um estado inicial e ainda não afeta a Pontuação Segura.
  • No momento, a Pontuação de segurança aplica-se apenas à recomendação principal, não a cada item individual.

Se você vir ambos os formatos ou recomendações com a etiqueta "Pré-visualização", essa condição é esperada durante a transição. O objetivo é melhorar a clareza e permitir que você atue com mais facilidade em recomendações específicas.

Ao integrar o Defender para Nuvem no portal do Defender, você também pode acessar recomendações de nuvem aprimoradas por meio da interface unificada.

As principais melhorias na experiência de recomendações de nuvem incluem:

  • Fatores de risco por ativo: avalie o contexto de exposição mais amplo de cada recomendação para decisões informadas.
  • Pontuação baseada em risco: nova pontuação que pesa as recomendações com base na gravidade, no contexto do ativo e no potencial impacto.
  • Dados aprimorados: os principais dados de recomendação das Recomendações do Azure enriquecidos com campos e recursos adicionais do Gerenciamento de Exposição.
  • Priorizado pela crítica: maior ênfase em questões críticas que representam o maior risco para sua organização.

A experiência unificada garante que as recomendações de segurança na nuvem sejam contextualizadas no cenário de segurança mais amplo, permitindo fluxos de trabalho de decisão mais informados e correção eficiente.

Recomendações de grupo por título

Você pode agrupar recomendações por título usando a página de recomendação do Defender para Nuvem. Esse recurso é útil quando você deseja corrigir uma recomendação que afeta vários recursos devido a um problema de segurança específico.

  1. Entre no portal do Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Grupo por título.

    Captura de tela da página de recomendações que mostra a localização do Grupo por alternância de título.

Gerenciar suas recomendações atribuídas

O Defender para Nuvem dá suporte a regras de governança para recomendações. Você pode atribuir um responsável pela recomendação ou uma data de vencimento. Você pode ajudar a garantir a responsabilidade usando regras de governança, que também dão suporte a um SLA (contrato de nível de serviço) para recomendações.

  • As recomendações aparecem como Em tempo até que a data de conclusão passe. Em seguida, eles mudam para Overdue.
  • Quando uma recomendação não é classificada como Vencida, ela não afeta sua Pontuação de Segurança da Microsoft.
  • Você também pode aplicar um período de carência para que as recomendações atrasadas não afetem sua Pontuação segura.

Saiba mais sobre como configurar regras de governança.

Para ver todas as suas recomendações atribuídas:

  1. Entre no portal do Azure.

  2. Vá paraRecomendações do >.

  3. Selecione Adicionar filtro>Proprietário.

  4. Selecione sua entrada de usuário.

  5. Selecione Aplicar.

  6. Nos resultados da recomendação, examine as recomendações, incluindo recursos afetados, fatores de risco, caminhos de ataque, datas de conclusão e status.

  7. Selecione uma recomendação para revisá-la ainda mais.

Para fazer alterações em uma atribuição, conclua as seguintes etapas:

  1. Acesse Tomar ação>Alterar proprietário e data de conclusão.

  2. Selecione Editar atribuição para alterar o proprietário da recomendação ou a data de vencimento.

  3. Se você selecionar uma nova data de correção, especifique por que a correção deve ser concluída até essa data na Justificativa.   

  4. Selecione Salvar.

    Observação

    Quando você altera a data de conclusão esperada, a data de conclusão da recomendação não é alterada, mas os parceiros de segurança podem ver que você planeja atualizar os recursos até a data especificada.

Por padrão, o proprietário do recurso recebe um email semanal que mostra todas as recomendações atribuídas a eles.

Use a opção Definir notificações por email para:

  • Substitua o email semanal padrão para o proprietário.
  • Notifique os proprietários semanalmente com uma lista de tarefas abertas ou atrasadas.
  • Notifique o gerente direto do proprietário com uma lista de tarefas abertas.

Revisar as recomendações no Azure Resource Graph

Use o Azure Resource Graph para escrever uma consulta KQL (Kusto Query Language) para consultar dados de postura de segurança do Defender para Nuvem em várias assinaturas. Usando o Azure Resource Graph, você pode consultar com eficiência em escala em ambientes de nuvem exibindo, filtrando, agrupando e classificando dados.

  1. Entre no portal do Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Selecione Abrir consulta.

  5. Você pode abrir a consulta de duas maneiras:

    • Consulta retornando o recurso afetado: retorna uma lista de todos os recursos que a recomendação afeta.
    • Consulta retornando descobertas de segurança: retorna uma lista de todos os problemas de segurança encontrados pela recomendação.

  6. Selecione executar consulta.

    Captura de tela do Azure Resource Graph Explorer que mostra os resultados da recomendação da captura de tela anterior.

  7. Revise os resultados.

Conteúdo relacionado

  • Last updated on