Compartilhar via

Habilitar o gerenciamento de postura de segurança de dados

Este artigo descreve como habilitar o gerenciamento de postura de segurança de dados no Microsoft Defender para Nuvem.

Antes de começar

  • Antes de habilitar o gerenciamento de postura de segurança de dados, examine o suporte e os pré-requisitos.
  • Quando você habilita os planos do Defender CSPM ou do Defender para Armazenamento, a extensão de descoberta de dados confidenciais é habilitada automaticamente. Você pode desabilitar essa configuração se não quiser usar o gerenciamento de postura de segurança de dados, mas recomendamos que você use o recurso para obter o maior valor do Defender para Nuvem.
  • Os dados confidenciais são identificados com base nas configurações de confidencialidade de dados no Defender para Nuvem. Você pode personalizar as configurações de confidencialidade de dados para identificar os dados que sua organização considera confidenciais.
  • Leva até 24 horas para ver os resultados de uma primeira descoberta depois de habilitar o recurso.

Habilitar no GPSN do Defender (Azure)

Siga estas etapas para habilitar o gerenciamento de postura de segurança de dados. Não se esqueça de examinar as permissões necessárias antes de começar.

  1. Navegue até as configurações do Microsoft Defender para Nuvem>Configurações de ambiente.

  2. Selecione a assinatura do Azure relevante.

  3. Para o plano do Defender CSPM, selecione o status Ativado.

    Se o Defender CSPM já estiver ativado, selecione Configurações na coluna de cobertura de monitoramento do plano do CSPM do Defender e verifique se o componente de descoberta de dados confidenciais está definido como Ativado status.

  4. Depois que a descoberta de dados confidenciais estiver ativada no Defender CSPM, ela incorporará automaticamente o suporte para tipos de recursos adicionais à medida que o intervalo de tipos de recursos com suporte se expandir.

Habilitar no GPSN do Defender (AWS)

Antes de começar no AWS

  • Não se esqueça de: examine os requisitos de descoberta do AWS e as permissões necessárias.
  • Verifique se não há nenhuma política que bloqueie a conexão com seus buckets do Amazon S3.
  • Para instâncias de RDS: há suporte para criptografia KMS entre contas, mas políticas adicionais de acesso ao KMS podem impedir o acesso.

Habilitar recursos para Amazon Web Services

Buckets S3 e instâncias RDS

  1. Habilitar a configuração de segurança de dados, conforme descrito acima
  2. Prossiga com as instruções para baixar o modelo cloudformation e executá-lo no AWS.

A descoberta automática de buckets S3 na conta do AWS é iniciada automaticamente.

Para buckets S3, a verificação do Defender para Nuvem é executada na sua conta da AWS e se conecta aos buckets S3.

Para instâncias de RDS, a descoberta será disparada quando a Descoberta de Dados Confidenciais estiver ativada. O verificador pegará o instantâneo automatizado mais recente de uma instância, criará um instantâneo manual na conta de origem e o copiará para um ambiente isolado de propriedade da Microsoft na mesma região.

O instantâneo é usado para criar uma instância dinâmica que é ativada, verificada e imediatamente destruída (junto com o instantâneo copiado).

Somente as descobertas de verificação são relatadas pela plataforma de verificação.

Diagrama que explica a plataforma de escaneamento do RDS.

Verificar se há políticas de bloqueio S3

Se o processo de habilitação não funcionar devido a uma política bloqueada, verifique o seguinte:

  • Verifique se a política de bucket S3 não bloqueia a conexão. No bucket S3 da AWS, selecione a guia Permissões Política de bucket >. Verifique os detalhes da política para verificar se o serviço de scanner do Microsoft Defender para Nuvem em execução na conta da Microsoft na AWS não está bloqueado.
  • Verifique se não há nenhuma política SCP que bloqueie a conexão com o bucket S3. Por exemplo, sua política SCP pode bloquear chamadas de API de leitura para a região da AWS em que o bucket S3 está hospedado.
  • Verifique se essas chamadas de API necessárias são permitidas pela política SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Verifique se sua política SCP permite chamadas para a região AWS do leste dos EUA-1, que é a região padrão para chamadas à API.

Habilitar o monitoramento com reconhecimento de dados no Defender para Armazenamento

A detecção de ameaças de dados confidenciais é habilitada por padrão quando o componente de descoberta de dados confidenciais está habilitado no plano defender para armazenamento. Saiba mais.

Somente os recursos do Armazenamento do Azure serão verificados se o plano do CSPM do Defender estiver desativado.

Próximas etapas

Examine os riscos de segurança em seus dados

  • Last updated on