Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Examine os requisitos nesta página antes de configurar o gerenciamento de postura de segurança de dados no Microsoft Defender para Nuvem.
Habilitar a descoberta de dados confidenciais
A descoberta de dados confidenciais está disponível nos planos CSPM (Gerenciamento de Postura do Defender Cloud Security), Defender para Armazenamento e Defender para Bancos de Dados.
- Quando você habilita um dos planos, a extensão de descoberta de dados confidenciais é ativada como parte do plano.
- Se você tiver planos existentes em execução, a extensão estará disponível, mas desativada por padrão.
- Os status de plano existentes são exibidos como "Parcial" em vez de "Completo" se uma ou mais extensões não estiverem ativadas.
- O recurso é ativado no nível da assinatura.
- Se a descoberta de dados confidenciais for ativada, mas o Defender CSPM não estiver habilitado, somente os recursos de armazenamento serão verificados.
- Quando uma assinatura habilita o Defender CSPM e você verifica os mesmos recursos com o Purview, o resultado da verificação do Purview é ignorado. O padrão é exibir os resultados de verificação do Microsoft Defender para Nuvem para o tipo de recurso com suporte.
O que tem suporte
A tabela resume a disponibilidade e os cenários com suporte para descoberta de dados confidenciais.
| Suporte | Detalhes |
|---|---|
| Quais recursos de dados do Azure posso verificar? |
Armazenamento de objetos: Bloquear contas de armazenamento de blobs no Armazenamento do Azure v1/v2 Arquivos do Azure no Armazenamento do Microsoft Azure v1/v2. Suportado apenas com o protocolo SMB Azure Data Lake Storage Gen2 Há suporte para contas de armazenamento por trás de redes privadas. Há suporte para contas de armazenamento criptografadas com uma chave do lado do servidor gerenciada pelo cliente. Não haverá suporte para contas se um ponto de extremidade da conta de armazenamento tiver um domínio personalizado mapeado para ele. Pré-requisitos e limitações: - Para escanear compartilhamentos de arquivos, o Defender para Nuvem atribui a função Storage File Data Privileged Reader ao StorageDataScanner. Bancos de dados Banco de Dados SQL do Azure Banco de Dados SQL do Azure criptografado com Transparent data encryption |
| Quais recursos de dados da AWS posso examinar? |
Armazenamento de objetos: Buckets do AWS S3 O Defender para Nuvem pode verificar dados criptografados, mas não dados criptografados com uma chave gerenciada pelo cliente. Bancos de dados – Amazon Aurora – Amazon RDS para PostgreSQL – Amazon RDS para MySQL – Amazon RDS para MariaDB - Amazon RDS para SQL Server (não personalizado) - Amazon RDS for Oracle Database (não personalizado, somente edição SE2) Pré-requisitos e limitações: – Os backups automatizados precisam ser habilitados. – A função IAM criada para fins de verificação (DefenderForCloud-DataSecurityPostureDB por padrão) precisa ter permissões para a chave KMS usada para a criptografia da instância do RDS. - Você não pode compartilhar um instantâneo de BD que usa um grupo de opções com opções permanentes ou persistentes, exceto para instâncias do Oracle DB que têm a opção de Fuso horário ou OLS (ou ambas). Saiba mais |
| Quais são os recursos de dados do GCP? | Buckets de armazenamento do GCP Classe Standard Área geográfica: região, região dupla, várias regiões |
| Quais permissões preciso para a verificação? | Conta de armazenamento: Proprietário da Assinatura or Microsoft.Authorization/roleAssignments/* (leitura, gravação, exclusão) eMicrosoft.Security/pricings/* (leitura, gravação, exclusão) eMicrosoft.Security/pricings/SecurityOperators (leitura, gravação)Buckets do Amazon S3 e instâncias RDS: permissão da conta AWS para executar a Formação de Nuvem (para criar uma função). Buckets de armazenamento do GCP: permissão da conta do Google para executar o script (para criar uma função). |
| Quais tipos de arquivo dão suporte à descoberta de dados confidenciais? | Tipos de arquivo suportados (você não pode selecionar um subconjunto): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Quais regiões do Azure são compatíveis? | Você pode descobrir contas de armazenamento do Azure em: Europa Ocidental (westeurope), Canadá Central (canadacentral), Sul do Reino Unido (uksouth), Leste do Japão (japaneast), Leste dos EUA 2 (eastus2), Leste da Austrália (austrália), Leste do Canadá (canadaeast), Leste dos EUA (leste dos EUA), Centro-Sul dos EUA (southcentralus), Norte Eua Central (northcentralus), Oeste dos EUA 2 (westus2), Sudeste Asiático (sudeste da Ásia), Eua Central (centralus), Sul do Brasil (brasilsouth), França Central (francecentral), Norte da Europa (northeurope), Oeste do Japão (japanwest), Sudeste da Austrália (austráliasoutheast), Oeste dos EUA (oeste dos EUA), Leste dos EUA 2 EUAP (eastus2euap), Austrália Central (austráliacentral), Leste da Ásia (leste da Ásia), Oeste do Reino Unido (ukwest), Índia Central (centralindia), Leste da Noruega (noruega), Norte da África do Sul (southafricanorth), Suécia Central (suéciacente)ral), Oeste dos EUA 3 (westus3), Centro-Oeste dos EUA (westcentralus), Índia do Sul (southindia), Norte dos Emirados Árabes Unidos (uaenorth), Norte da Suíça (suíçanorth), Centro-Oeste da Alemanha (germanywestcentral), Coreia Central (koreacentral), Sul da Coreia (koreasouth), Jio India West (jioindiawest), Israel Central (israelcentral), Suíça West (suíçawest), Polônia Central (polôniacentral), Norte da Alemanha (alemanhanorth), Norte da Itália (itálianorth), Oeste da Noruega (noruegawest), Austrália Central 2 (australiacentral2), Oeste da África do Sul (sudoeste), México Central (mexicocentral), Emirados Árabes Unidos Central (uaecentral), Sul da França (francesouth), Sudeste do Brasil (brazilsoutheast), Jio India Central (jioindiacentral), Sul da Suécia (suéciasouth), Espanha Central (spaincentral), Norte da Nova Zelândia (newzealandnorth) Você pode descobrir os Bancos de Dados SQL do Azure em qualquer região em que haja suporte para o GPSN do Defender e os Bancos de Dados SQL do Azure. |
| Quais regiões da AWS têm suporte? | S3: UE (Estocolmo), UE (Londres), UE (Paris), Ásia-Pacífico (Mumbai), Canadá (Central), América do Sul (São Paulo), Oeste dos EUA (N. Califórnia), Oeste dos EUA (Oregon), Pacífico Asiático (Tóquio), Pacífico Asiático (Cingapura), Pacífico Asiático (Sydney), UE (Irlanda), Leste dos EUA (N. Virgínia), UE (Frankfurt), Leste dos EUA (Ohio) RDS: África (Cidade do Cabo); Ásia-Pacífico (RAE de Hong Kong); Ásia-Pacífico (Hyderabad); Ásia-Pacífico (Melbourne); Ásia-Pacífico (Mumbai); Ásia-Pacífico (Osaka); Ásia-Pacífico (Seul); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Central); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); Europa (Zurique); Médio Oriente (Emirados Árabes Unidos); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon). A descoberta é feita localmente na região. |
| Quais regiões do GCP têm suporte? | Tel Aviv (me-west1), Mumbai (ásia-sul1), Carolina do Sul (us-east1), Montréal (northamerica-northeast1), Iowa (us-central1), Oregon (us-west1), Bélgica (europa-oeste1), Virgínia do Norte (eua-east4) |
| É necessário instalar um agente? | Não, a descoberta não requer instalação de agente. |
| Qual é o custo? | O recurso está incluído nos planos GPSN do Defender e do Defender para Armazenamento e não inclui custos adicionais, exceto os respectivos custos de plano. |
| Outros custos | A descoberta de dados confidenciais para contas de Armazenamento do Azure depende de outros serviços do Azure. Essa dependência pode resultar em custos extras, incluindo operações de leitura do Armazenamento do Azure. |
| Quais permissões preciso para exibir ou editar configurações de confidencialidade de dados? | Você precisa de uma destas funções do Microsoft Entra: |
| Quais permissões são necessárias para executar a integração? | Você precisa de uma destas funções de RBAC (controle de acesso baseado em função) do Azure: administrador de segurança, colaborador, proprietário no nível da assinatura (onde residem os projetos do GCP). Para consumir as descobertas de segurança: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador, Proprietário no nível da assinatura (onde residem os projetos do GCP). |
Definir as configurações de confidencialidade de dados
As etapas principais para definir as configurações de confidencialidade de dados incluem:
- Importar tipos/rótulos de informações de confidencialidade personalizados do portal de conformidade do Microsoft Purview
- Personalizar categorias ou tipos de dados confidenciais
- Definir o limite para rótulos de confidencialidade
Saiba mais sobre rótulos de confidencialidade no Microsoft Purview.
Descoberta
O Defender para Nuvem começa a descobrir dados imediatamente depois de habilitar um plano ou depois de ativar os recursos do plano.
Para armazenamento de objetos:
- Os resultados estão disponíveis para descoberta pela primeira vez dentro de 24 horas.
- Depois de atualizar arquivos nos recursos descobertos, os dados são atualizados dentro de oito dias.
- Uma nova conta de armazenamento do Azure adicionada a uma assinatura já descoberta é descoberta dentro de 24 horas ou menos.
- Um novo bucket do AWS S3 ou bucket de armazenamento GCP adicionado a uma conta AWS já descoberta ou a conta do Google é descoberto dentro de 48 horas ou menos.
- Descoberta de dados confidenciais para condutas de armazenamento localmente em sua região. Isso garante que seus dados não saiam da sua região. Somente metadados de recurso, como arquivos, blobs, nomes de buckets, rótulos de confidencialidade detectados e nomes de SITs (Tipos de Informações Confidenciais) identificados, são transferidos para o Defender para Nuvem.
Para bancos de dados:
- São verificados semanalmente.
- Para assinaturas recentemente habilitadas, os resultados aparecem em 24 horas.
Cloud Security Explorer
Exibimos todos os tipos de armazenamento, incluindo Contas de Armazenamento do Azure, Buckets AWS e Buckets GCP, independentemente de seus insights associados. Para Contas de Armazenamento do Azure, que incluem Contêineres de Blob e Compartilhamentos de Arquivos, aplicam-se as seguintes regras:
Os Contêineres de Blob serão exibidos se atenderem a qualquer um dos seguintes critérios:
Eles têm o insight contém dados confidenciais.
Eles têm a visão do Acesso Público.
Eles têm uma regra de replicação para ou de outro blob.
Os Compartilhamentos de Arquivos serão exibidos somente se tiverem o insight "Contém Dados Confidenciais".
Descobrir e verificar contas de armazenamento do Azure
Para verificar contas de armazenamento do Azure, o Microsoft Defender para Nuvem cria um novo storageDataScanner recurso e atribui a ele a função Leitor de Dados do Blob de Armazenamento. Essa função concede as seguintes permissões:
- Lista
- Ler
Para contas de armazenamento por trás de redes privadas, incluímos o StorageDataScanner na lista de instâncias de recursos permitidas na configuração de regras de rede da conta de armazenamento.
Descobrir e verificar buckets da AWS S3
Para proteger os recursos da AWS no Defender para Nuvem, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.
- Para descobrir os recursos de dados da AWS, o Defender para Nuvem atualiza o modelo CloudFormation.
- O modelo CloudFormation cria uma nova função no IAM do AWS para permitir que o verificador do Defender para Nuvem acesse os dados nos buckets S3.
- Para conectar contas AWS, você precisa de permissões de administrador na conta.
- A função dá suporte a essas permissões: somente leitura S3; descriptografar KMS.
Descobrir e verificar instâncias da AWS RDS
Para proteger os recursos da AWS no Defender para Nuvem, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.
- Para descobrir instâncias de RDS da AWS, o Defender para Nuvem atualiza o modelo do CloudFormation.
- O modelo CloudFormation cria uma nova função no IAM do AWS para permitir que o scanner do Defender para Nuvem tire o último instantâneo automatizado disponível da instância e coloque-o online em um ambiente de verificação isolado na mesma região do AWS.
- Para conectar contas AWS, você precisa de permissões de administrador na conta.
- Os instantâneos automatizados precisam ser habilitados nas Instâncias/Clusters de RDS relevantes.
- A função concede estas permissões (confira o modelo do CloudFormation para ver as definições exatas):
- Listar todos os BDs/clusters do RDS
- Copiar todos os instantâneos de BD/cluster
- Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases
- Listar todas as chaves KMS
- Usar todas as chaves KMS somente para RDS na conta de origem
- Criação e controle total de todas as chaves KMS com o prefixo de marcação DefenderForDatabases
- Criar alias para chaves KMS
- As chaves KMS são criadas uma vez para cada região que contém instâncias de RDS. A criação de uma chave KMS pode incorrer em um custo extra mínimo, de acordo com os preços do KMS da AWS.
Descobrir e verificar buckets de armazenamento do GCP
Para proteger os recursos do GCP no Defender para Nuvem, configure um conector do Google usando um modelo de script para integrar a conta do GCP.
- Para descobrir buckets de armazenamento do GCP, o Defender para Nuvem atualiza o modelo de script.
- O modelo de script cria uma nova função na conta do Google para dar permissão ao verificador do Defender para Nuvem para acessar os dados nos buckets de armazenamento do GCP.
- Para conectar contas do Google, você precisa de permissões de administrador na conta.
Exposto à Internet/permite o acesso público
Os caminhos de ataque e insights de grafo de segurança de nuvem do GPSN do Defender incluem informações sobre recursos de armazenamento expostos à Internet e permitem acesso público. A tabela a seguir fornece mais detalhes.
| State | Contas de Armazenamento do Azure | Buckets do AWS S3 | Buckets de Armazenamento do GCP |
|---|---|---|---|
| Exposto à Internet | Uma conta de armazenamento do Azure será considerada exposta à Internet se uma dessas configurações estiver habilitada: Storage_account_name>Rede>Acesso à rede pública>Habilitado de todas as redes ou Storage_account_name >Rede>Acesso à rede pública>Habilitado de redes virtuais e endereços IP selecionados. |
Um bucket do AWS S3 será considerado exposto à Internet se as políticas de bucket da conta AWS/AWS S3 não tiverem uma condição definida para endereços IP. | Todos os buckets de armazenamento do GCP são expostos à Internet por padrão. |
| Permite o acesso público | Um contêiner de conta de armazenamento do Azure é considerado como permitindo o acesso público se essas configurações estiverem habilitadas na conta de armazenamento: Storage_account_name >Configuração>Permitir acesso anônimo de blob>Habilitado. e qualquer uma dessas configurações: Storage_account_name >Contêineres> container_name >Nível de acesso público definido como Blob (acesso de leitura anônimo apenas para blobs) Ou Storage_account_name >Contêineres> container_name >Nível de acesso público definido como Contêiner (acesso de leitura anônimo para contêineres e blobs). |
Considera-se que um bucket do AWS S3 permita o acesso público se a conta AWS e o bucket do AWS S3 tiverem Bloquear todo o acesso público definido como Desativado e qualquer uma dessas configurações estiver definida: Na política, RestrictPublicBuckets não está habilitada e a configuração Principal está definida como * e Efeito está definido como Permitir. Ou, na lista de controle de acesso, IgnorePublicAcl não está habilitado e a permissão é dada para Todos ou para Usuários autenticados. |
Um bucket de armazenamento do GCP é considerado como permitindo acesso público se: ele tem uma função de IAM (Gerenciamento de Identidades e Acesso) que atenda a estes critérios: A função é concedida aos allUsers ou allAuthenticatedUsers principais. A função tem pelo menos uma permissão de armazenamento que não éstorage.buckets.create ou storage.buckets.list. O acesso público no GCP é chamado de Público para a Internet. |
Os recursos de banco de dados não permitem acesso público, mas ainda podem estar expostos à Internet.
Os insights de exposição na Internet estão disponíveis para os seguintes recursos:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Instância Gerenciada de SQL do Azure
- Servidor Único do MySQL do Azure
- Servidor Flexível do MySQL do Azure
- Servidor Único do PostgreSQL do Azure
- Servidor Flexível do PostgreSQL do Azure
- Servidor Único do MariaDB do Azure
- Workspace do Synapse
AWS:
- Instância RDS
Observação
- As regras de exposição que incluem 0.0.0.0/0 são consideradas "excessivamente expostas", o que significa que elas podem ser acessadas de qualquer IP público.
- Os recursos do Azure com a regra de exposição "0.0.0.0" podem ser acessados de qualquer recurso no Azure (independentemente de locatário ou assinatura).
Conteúdo relacionado
Habilitar o gerenciamento de postura de segurança de dados.