Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página fornece informações sobre recursos, correções e substituições com mais de seis meses. Para obter as atualizações mais recentes, leia Novidades no Defender para Nuvem?.
Junho de 2025
| Date | Category | Update |
|---|---|---|
| 30 de junho | Preview | Detecções de DNS no Defender para contêineres baseadas no Helm (Prévia) |
| 25 de junho | Preview | Marcas de índice opcionais para armazenar resultados de verificação de malware (versão prévia) |
| 25 de junho | Preview | Descoberta de API e postura de segurança para APIs hospedadas em Aplicativos de Funções e Aplicativos Lógicos (versão prévia) |
| 25 de junho | Preview | Monitoramento de integridade de arquivos sem agente (versão prévia) |
| 18 de junho | Preview | Verificação de código sem agente – suporte do GitHub e cobertura personalizável agora disponíveis (versão prévia) |
Detecções de DNS para contêiner do Defender baseadas no Helm (versão prévia)
O que está incluído:
Suporte à implantação baseado em Helm
Para obter instruções de instalação e mais detalhes, consulte Instalar o sensor do Defender para Contêineres usando o Helm.
Detecções de ameaças DNS
Melhora a eficiência de memória e reduz o consumo de CPU para implantações de cluster grandes.
Para obter mais informações, consulte: Sensor for Defender for Containers Changelog.
Marcas de índice opcionais para armazenar resultados de verificação de malware (versão prévia)
25 de junho de 2025
A verificação de malware do Defender para Armazenamento apresenta marcas de índice opcionais para verificações sob demanda e sob demanda. Com esse novo recurso, os usuários podem escolher se devem publicar resultados nas marcas de índice do blob quando um blob é verificado (padrão) ou não usar marcas de índice. As marcas de índice podem ser habilitadas ou desabilitadas no nível da assinatura e da conta de armazenamento por meio do portal do Azure ou por meio da API.
Descoberta de API e postura de segurança para APIs hospedadas em Aplicativos de Funções e Aplicativos Lógicos (versão prévia)
25 de junho de 2025
O Defender para Nuvem agora estende seus recursos de descoberta de API e postura de segurança para incluir APIs hospedadas nos Aplicativos de Funções do Azure e aplicativos lógicos, além de seu suporte existente para APIs publicadas no Gerenciamento de API do Azure.
Esse aprimoramento capacita as equipes de segurança com uma visão abrangente e continuamente atualizada da superfície de ataque da API de sua organização. As principais funcionalidades incluem:
- Inventário de API centralizado: descubra e cataloge automaticamente AS APIs nos serviços do Azure com suporte.
- Avaliações de risco de segurança: identificar e priorizar riscos, incluindo a identificação de APIs inativas que podem justificar a remoção, bem como APIs não criptografadas que podem expor dados confidenciais.
Esses recursos estão automaticamente disponíveis para todos os clientes do DCSPM (Gerenciamento de Postura de Segurança de Nuvem) do Defender que habilitaram a extensão de Gerenciamento de Postura de Segurança da API.
Linha do tempo de distribuição: a distribuição dessas atualizações começará em 25 de junho de 2025 e deverá chegar a todas as regiões com suporte dentro de uma semana.
Monitoramento de integridade de arquivos sem agente (versão prévia)
25 de junho de 2025
O FIM (Monitoramento de Integridade de Arquivos Sem Agente) agora está disponível na versão prévia. Essa funcionalidade complementa a solução FIM geralmente disponível baseada no agente Microsoft Defender for Endpoint e apresenta suporte para monitoramento personalizado de arquivos e registros.
O FIM sem agente permite que as organizações monitorem alterações de arquivo e registro em seu ambiente sem implantar outros agentes. Ele fornece uma alternativa leve e escalonável, mantendo a compatibilidade com a solução baseada em agente existente.
As principais funcionalidades incluem:
- Monitoramento personalizado: atenda a requisitos específicos de conformidade e segurança definindo e monitorando caminhos de arquivo personalizados e chaves do Registro.
- Experiência unificada: eventos do FIM sem agente e baseado em MDE são armazenados na mesma tabela de workspace, com indicadores de origem claros.
Saiba mais sobre o monitoramento de integridade do arquivo e como habilitar o monitoramento de integridade do arquivo.
Verificação de código sem agente – suporte do GitHub e cobertura personalizável agora disponíveis (versão prévia)
18 de junho de 2025
Atualizamos o recurso de verificação de código sem agente para incluir os principais recursos que estendem a cobertura e o controle. Essas atualizações incluem:
- Suporte para repositórios do GitHub, além do Azure DevOps
- Seleção de scanner personalizável – selecione quais ferramentas (por exemplo, Bandit, Checkov, ESLint) executar
- Configuração de escopo granular – incluir ou excluir organizações, projetos ou repositórios específicos
A digitalização de código sem agente oferece uma verificação de segurança escalável para código e infraestrutura como código (IaC) sem a necessidade de alterações nos pipelines de CI/CD. Ele ajuda as equipes de segurança a detectar vulnerabilidades e configurações incorretas sem interromper os fluxos de trabalho do desenvolvedor.
Saiba mais sobre como configurar a verificação de código sem agente no Azure DevOps ou no GitHub.
Maio de 2025
| Date | Category | Update |
|---|---|---|
| 28 de maio | GA | Disponibilidade geral para filtros personalizáveis de verificação de malware no upload no Defender para Armazenamento |
| Maio de 5 | Preview | Usuário Ativo (Visualização Pública) |
| 1º de maio | GA | Disponibilidade Geral do Defender para Serviços de IA |
| 1º de maio | GA | O Microsoft Security Copilot agora está disponível no Defender para Nuvem |
| 1º de maio | GA | Painel de segurança de IA e dados de disponibilidade geral |
| 1º de maio | Alterações futuras | O Defender CSPM começa a cobrar pelos recursos do "Azure Database for MySQL Flexible Server" e do "Azure Database for PostgreSQL Flexible Server" |
Disponibilidade geral para filtros personalizáveis de verificação de malware no carregamento no Defender para Armazenamento
28 de maio de 2025
Agora, a verificação de malware durante o upload oferece suporte a filtros personalizáveis. Os usuários podem definir regras de exclusão para verificações de malware no upload com base em prefixos de caminho de blob, sufixos e tamanho do blob. Excluindo caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros de verificação de malware personalizáveis no upload.
Usuário Ativo (Visualização Pública)
O recurso Usuário Ativo ajuda os administradores de segurança a identificar e atribuir recomendações rapidamente aos usuários mais relevantes com base na atividade recente do painel de controle. Para cada recomendação, até três usuários ativos potenciais são sugeridos no nível de recurso, grupo de recursos ou assinatura. Os administradores podem selecionar um usuário na lista, atribuir a recomendação e definir uma data de conclusão, disparando uma notificação para o usuário atribuído. Isso simplifica os fluxos de trabalho de correção, reduz o tempo de investigação e fortalece a postura geral de segurança.
Disponibilidade geral do Defender para Serviços de IA
1 de maio de 2025
O Defender para Nuvem agora dá suporte à proteção de runtime para serviços de IA do Azure (anteriormente chamado de proteção contra ameaças para cargas de trabalho de IA).
A proteção para serviços de IA do Azure abrange ameaças específicas a serviços e aplicativos de IA, como jailbreak, abuso de carteira, exposição de dados, padrões de acesso suspeitos e muito mais. As detecções usam sinais do Microsoft Threat Intelligence e do Azure AI Prompt Shields e aplicam aprendizado de máquina e IA para proteger seus serviços de IA.
Saiba mais sobre o Defender para Serviços de IA.
O Microsoft Security Copilot agora está disponível no Defender para Nuvem
1 de maio de 2025
O Microsoft Security Copilot agora está disponível no Defender para Nuvem.
O Copilot de Segurança acelera a correção de risco para as equipes de segurança, tornando mais rápido e fácil para os administradores lidarem com os riscos de nuvem. Ele fornece resumos gerados por IA, ações de correção e emails de delegação, orientando os usuários em cada etapa do processo de redução de risco.
Os administradores de segurança podem resumir rapidamente as recomendações, gerar scripts de correção e delegar tarefas por email aos proprietários de recursos. Esses recursos reduzem o tempo de investigação, ajudam as equipes de segurança a entender os riscos no contexto e a identificar recursos para correção rápida.
Saiba mais sobre Microsoft Security Copilot no Defender para Nuvem.
Painel de segurança de IA e dados de disponibilidade geral
1 de maio de 2025
O Defender para Nuvem está aprimorando o painel de segurança de dados para incluir o AI Security com o novo painel de segurança de Dados e IA no GA. O painel fornece uma plataforma centralizada para monitorar e gerenciar os recursos de Dados e IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de Dados e IA incluem:
- Exibição unificada: obtenha uma visão abrangente de todos os recursos organizacionais de Dados de IA.
- Insights de dados: entenda onde seus dados estão armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção dos seus recursos de Dados e IA.
- Problemas críticos: destaque os recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resumir recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra os volumes de aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de Dados e IA.
O GPSN do Defender inicia a cobrança para recursos do Servidor Flexível do Banco de Dados do Azure para MySQL e do Banco de Dados do Azure para PostgreSQL
1 de maio de 2025
Data estimada para alteração: Junho de 2025
A partir de 1º de junho de 2025, o Microsoft Defender CSPM iniciará a cobrança pelos recursos do Azure Database for MySQL Flexible Server e do Azure Database for PostgreSQL Flexible Server em sua assinatura, onde o Defender CSPM está habilitado. Esses recursos já estão protegidos pelo Defender CSPM e nenhuma ação do usuário é necessária. Depois que a cobrança for iniciada, sua fatura poderá aumentar.
Para obter mais informações, consulte o preço do plano CSPM
Abril de 2025
| Date | Category | Update |
|---|---|---|
| 29 de abril | Preview | Gerenciamento de Postura de IA no Vertex AI do GCP (versão prévia) |
| 29 de abril | Preview | Integração do Defender para Nuvem com Mend.io (versão prévia) |
| 29 de abril | Change | Permissões de aplicativo do GitHub atualizadas |
| 28 de abril | Change | Atualizar para o plano do Defender para SQL Servers em Computadores |
| 27 de abril | GA | Novo limite padrão para verificação de malware ao carregar no Microsoft Defender para Armazenamento |
| 24 de abril | GA | Disponibilidade geral da integração nativa do Gerenciamento de Postura de Segurança de API no Plano CSPM do Defender |
| 7 de abril | Próxima alteração | Aprimoramentos do Defender para alertas do serviço de aplicativo |
Gerenciamento de Postura de IA no Vertex AI do GCP (versão prévia)
29 de abril de 2025
Os recursos de gerenciamento de postura de segurança de IA do Defender para Nuvem agora dão suporte a cargas de trabalho de IA no Vertex AI do Google Cloud Platform (GCP) (versão prévia).
Os principais recursos desta versão incluem:
- Descoberta de aplicativo de IA moderno: descubra e cataloge automaticamente componentes de aplicativo de IA, dados e artefatos de IA implantados na IA do Vértice GCP.
- Fortalecimento da postura de segurança: detecte configurações incorretas e receba recomendações internas e ações de correção para aprimorar a postura de segurança de seus aplicativos de IA.
- Análise de caminho de ataque: identifique e corrija riscos usando a análise avançada do caminho de ataque para proteger suas cargas de trabalho de IA contra possíveis ameaças.
Essas funcionalidades foram projetadas para fornecer visibilidade abrangente, detecção de má configuração e fortalecimento para recursos de IA, garantindo uma redução dos riscos para cargas de trabalho de IA desenvolvidas na plataforma Vertex AI do GCP.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Integração do Defender para Nuvem com Mend.io (versão prévia)
29 de abril de 2025
O Defender para Nuvem agora está integrado ao Mend.io na versão prévia. Essa integração aprimora a segurança do aplicativo de software identificando e mitigando vulnerabilidades em dependências de parceiros. Essa integração simplifica os processos de descoberta e correção, melhorando a segurança geral.
Saiba mais sobre a integração Mend.io.
Atualização de permissões de aplicativo do GitHub
29 de abril de 2025
Os conectores do GitHub no Defender para Nuvem serão atualizados para incluir permissões de administrador para [Propriedades Personalizadas]. Essa permissão é usada para fornecer novos recursos de contextualização e tem como escopo o gerenciamento do esquema de propriedades personalizadas. As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização do GitHub, navegue até os aplicativos DevOps de Segurança da Microsoft em Configurações > do GitHub Apps e aceite a solicitação de permissões.
Em um email automatizado do Suporte do GitHub, selecione Examinar solicitação de permissão para aceitar ou rejeitar essa alteração.
Observação: os conectores existentes continuarão a funcionar sem a nova funcionalidade se a ação acima não for executada.
Atualizar para o plano do Defender para SQL Servers em Computadores
28 de abril de 2025
O plano do Defender para SQL Server em computadores no Microsoft Defender para Nuvem protege instâncias do SQL Server hospedadas no Azure, AWS, GCP e computadores locais.
A partir de hoje, estamos liberando gradualmente uma solução de agente aprimorada para o plano. A solução baseada em agente elimina a necessidade de implantar o AMA (Agente do Azure Monitor) e, em vez disso, usa a infraestrutura SQL existente. A solução foi projetada para facilitar os processos de integração e melhorar a cobertura de proteção.
Ações necessárias do cliente:
Atualizar o Defender para SQL Servers na configuração de plano de máquinas: os clientes que habilitaram o Defender para SQL Server no plano de computadores antes de hoje são obrigados a seguir estas instruções para atualizar sua configuração, após a versão aprimorada do agente.
Verifique o status de proteção de instâncias do SQL Server: com uma data de início estimada de maio de 2025, os clientes devem verificar o status de proteção de suas instâncias do SQL Server em seus ambientes. Saiba como solucionar problemas de implantação do Defender para SQL na configuração de computadores.
Note
Depois que a atualização do agente ocorrer, você poderá ter um aumento de cobrança se instâncias adicionais do SQL Server estiverem protegidas com o seu plano habilitado do Defender para SQL Servers em Computadores. Para obter informações de cobrança, examine a página de preços do Defender para Nuvem.
Novo limite padrão para verificação de malware durante o upload no Microsoft Defender para Armazenamento
27 de abril de 2025
O valor limite padrão para verificação de malware no carregamento foi atualizado de 5.000 GB para 10.000 GB. Esse novo limite se aplica aos seguintes cenários:
Novas assinaturas: Assinaturas em que o Defender para Armazenamento está habilitado pela primeira vez.
Assinaturas habilitadas novamente: Assinaturas em que o Defender para Armazenamento foi desabilitado anteriormente e agora está habilitado novamente.
Quando a Verificação de Malware do Defender para Armazenamento estiver ativada para essas assinaturas, o limite padrão para a verificação de malware durante o carregamento será definido como 10.000 GB. Esse limite é ajustável para atender às suas necessidades específicas.
Para obter informações mais detalhadas, consulte a seção sobre verificação de malware – cobrança por GB, limite mensal e configuração
Disponibilidade geral da integração nativa do Gerenciamento de Postura de Segurança de API no Plano CSPM do Defender
24 de abril de 2025
O Gerenciamento de Postura de Segurança de APIs agora está disponível de forma geral como parte do plano do Microsoft Defender CSPM. Esta versão apresenta um inventário unificado de suas APIs, juntamente com insights sobre postura, ajudando você a identificar e priorizar riscos de API de maneira mais eficaz diretamente do seu plano do Defender CSPM. Você pode habilitar essa capacidade por meio da página Configurações de Ambiente ativando a extensão de Postura de Segurança da API.
Com essa atualização, novos fatores de risco foram adicionados, incluindo fatores de risco para APIs não autenticadas (AllowsAnonymousAccess) e APIs sem criptografia (UnencryptedAccess). Além disso, as APIs publicadas por meio do Gerenciamento de API do Azure agora permitem o mapeamento de volta para quaisquer VMs e entradas do Kubernetes conectadas, fornecendo visibilidade de ponta a ponta sobre a exposição à API e suporte à correção de risco por meio da análise do caminho de ataque.
Aprimoramentos do Defender para alertas do serviço de aplicativo
7 de abril de 2025
Em 30 de abril de 2025, os recursos de alerta do Defender para Serviço de Aplicativo serão aprimorados. Adicionaremos alertas para execuções de código suspeitas e acesso a pontos de extremidade internos ou remotos. Além disso, melhoramos a cobertura e reduzimos o ruído de alertas relevantes expandindo nossa lógica e removendo alertas que estavam causando ruídos desnecessários. Como parte desse processo, o alerta "Invocação suspeita de tema do WordPress detectada" será preterido.
Março de 2025
A proteção de contêiner aprimorada com avaliação de vulnerabilidade e detecção de malware para nós do AKS agoraestá em disponibilidade geral
30 de março de 2025
O Defender para Nuvem agora fornece avaliação de vulnerabilidade e detecção de malware para os nós no Serviço de Kubernetes do Azure (AKS) em disponibilidade geral. Fornecer proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço gerenciado do Kubernetes e entendam sua parte na responsabilidade de segurança compartilhada que eles têm com o provedor de nuvem gerenciado. Para receber os novos recursos, você precisa habilitar a verificação sem agente para computadores" como parte do plano do Defender CSPM, do Defender para Contêineres ou do Defender para Servidores P2 em sua assinatura.
Avaliação de Vulnerabilidade
Uma nova recomendação agora está disponível no portal do Azure: os nós do AKS devem ter as descobertas de vulnerabilidade resolvidas. Usando essa recomendação, agora você pode examinar e corrigir vulnerabilidades e CVEs encontradas em nós do AKS (Serviço de Kubernetes do Azure).
Detecção de software mal-intencionado
Novos alertas de segurança são disparados quando a funcionalidade de detecção de malware sem agente detecta malware em nós do AKS. A detecção de malware sem agente utiliza o mecanismo antimalware do Microsoft Defender Antivirus para verificar e detectar arquivos mal-intencionados. Quando as ameaças são detectadas, os alertas de segurança são direcionados para o Defender para Nuvem e o Defender XDR, onde podem ser investigados e corrigidos.
Nota: A detecção de malware nos nós do AKS está disponível somente em ambientes habilitados para o Defender para Contêineres ou Defender para Servidores P2.
Implantação fechada do Kubernetes (versão prévia)
27 de março de 2025
Estamos apresentando o recurso de implantação restrita do Kubernetes (versão prévia) ao plano do Defender para contêineres. A implantação fechada do Kubernetes é um mecanismo para aprimorar a segurança do Kubernetes controlando a implantação de imagens de contêiner que violam as políticas de segurança organizacional.
Essa funcionalidade é baseada em duas novas funcionalidades:
- Artefato de descobertas de vulnerabilidade: geração de descobertas para cada imagem de contêiner verificada para avaliação de vulnerabilidade.
- Regras de segurança: adição de regras de segurança para alertar ou impedir a implantação de imagens de contêiner vulneráveis em clusters do Kubernetes.
Regras de segurança personalizadas: os clientes podem personalizar regras de segurança para vários ambientes, para clusters kubernetes em sua organização ou para namespaces, para habilitar controles de segurança adaptados a necessidades específicas e requisitos de conformidade.
Ações configuráveis para uma regra de segurança:
Auditoria: a tentativa de implantar uma imagem de contêiner vulnerável dispara uma ação "Auditoria", gerando uma recomendação com detalhes de violação na imagem de contêiner.
Negar: a tentativa de implantar uma imagem de contêiner vulnerável dispara uma ação "Negar" para impedir a implantação da imagem de contêiner, garantindo que apenas imagens seguras e compatíveis sejam implantadas.
Segurança de ponta a ponta: definindo a proteção contra a implantação de imagens de contêiner vulneráveis como a primeira regra de segurança, apresentamos o mecanismo de classificação segura do Kubernetes de ponta a ponta, garantindo que contêineres vulneráveis não entrem no ambiente do Kubernetes do cliente.
Para obter mais informações sobre esse recurso, consulte a visão geral da solução de Implantação Fechada.
Filtros de verificação de malware personalizáveis no carregamento no Defender para Armazenamento (versão prévia)
27 de março de 2025
Agora, a verificação de malware durante o upload oferece suporte a filtros personalizáveis. Os usuários podem definir regras de exclusão para verificações de malware no upload com base em prefixos de caminho de blob, sufixos e tamanho do blob. Excluindo caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Saiba como configurar filtros de verificação de malware personalizáveis no upload.
Disponibilidade geral para suporte de verificação de VM sem agente para CMK no Azure
26 de março de 2025
A verificação sem agente para VMs do Azure com discos criptografados CMK agora está disponível de forma geral. O plano do Defender CSPM e o Defender para Servidores P2 oferecem suporte para verificação sem agente para VMs, agora com suporte do CMK em todas as nuvens
Saiba como habilitar a verificação sem agente para VMs do Azure com discos criptografados cmk.
Próxima alteração nos níveis de severidade da recomendação
11 de março de 2025
Estamos aprimorando os níveis de gravidade das recomendações para melhorar a avaliação e a priorização de riscos. Como parte dessa atualização, reavaliamos todas as classificações de severidade e introduzimos um novo nível – Crítico. Anteriormente, as recomendações eram categorizadas em três níveis: Baixo, Médio e Alto. Com essa atualização, agora há quatro níveis distintos: Baixo, Médio, Alto e Crítico, fornecendo uma avaliação de risco mais granular para ajudar os clientes a se concentrarem nos problemas de segurança mais urgentes.
Como resultado, os clientes podem notar alterações na gravidade das recomendações existentes. Além disso, a avaliação do nível de risco, disponível somente para clientes do Defender CSPM, também pode ser afetada, pois a gravidade da recomendação e o contexto do ativo são levados em consideração. Esses ajustes podem afetar o nível de risco geral.
A alteração projetada ocorrerá em 25 de março de 2025.
Disponibilidade geral do FIM (Monitoramento de Integridade de Arquivos) com base no Microsoft Defender para Ponto de Extremidade no Azure Governamental
03 de março de 2025
O Monitoramento de Integridade de Arquivos com base no Microsoft Defender para Ponto de Extremidade agora está em disponibilidade geral no Azure Governamental (GCCH) como parte do Plano 2 do Defender para servidores.
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Essa experiência aprimorada do FIM substitui a existente definida para substituição pela desativação do MMA (Agente do Log Analytics). A experiência FIM no MMA permanecerá com suporte no Azure Governamental até o final de março de 2023.
Com esta versão, uma experiência no produto será lançada para permitir que você migre a configuração do FIM no MMA para o novo FIM na versão do Defender para Ponto de Extremidade.
Para obter informações sobre como habilitar o FIM no Defender para Ponto de Extremidade, consulte Monitoramento de integridade do arquivo usando Microsoft Defender para ponto de extremidade. Para obter informações sobre como desabilitar versões anteriores e usar a ferramenta de migração, consulte Migrar Monitoramento de Integridade de Arquivos de versões anteriores.
Important
No momento, não há suporte para a disponibilidade do Monitoramento de Integridade de Arquivos no Azure operado pela 21Vianet e nas nuvens GCCM.
Fevereiro de 2025
| Date | Category | Update |
|---|---|---|
| 27 de fevereiro | Change | Exibição aprimorada do Nome do Recurso EC2 do AWS |
| 27 de fevereiro | GA | Verificação de malware sob demanda no Microsoft Defender para Armazenamento |
| 27 de fevereiro | GA | Verificação de malware do Defender para Armazenamento para blobs de até 50 GB |
| 23 de fevereiro | Preview | Avaliação de vulnerabilidade sem agente e independente de registro de contêineres para contêineres em execução no AKS (versão prévia) |
| 23 de fevereiro | Preview | Painel de segurança de dados e IA (versão prévia) |
| 19 de fevereiro | Preview | Calculadora de custos do MDC (versão prévia) |
| 19 de fevereiro | Preview | Cobertura de 31 novos e aprimorados padrões regulatórios multinuvem |
Exibição aprimorada do Nome do Recurso EC2 do AWS
27 de fevereiro de 2025
Data estimada para alteração: Março de 2025
Estamos aprimorando como os nomes de recursos são mostrados para instâncias do AWS EC2 em nossa plataforma. Se uma instância EC2 tiver uma marca de "nome" definida, o campo Nome do Recurso exibirá agora o valor dessa marca. Se nenhuma marca de "nome" estiver presente, o campo Nome do Recurso continuará a mostrar a ID da instância como antes. A ID do Recurso ainda estará disponível no campo ID do Recurso para referência.
O uso da marca "name" EC2 permite que você identifique facilmente seus recursos com nomes personalizados e significativos em vez de IDs. Isso torna mais rápido localizar e gerenciar instâncias específicas, reduzindo o tempo e o esforço gastos pesquisando ou fazendo referência cruzada aos detalhes da instância.
Verificação de malware sob demanda no Microsoft Defender para Armazenamento
27 de fevereiro de 2025
A verificação de malware sob demanda no Microsoft Defender para Armazenamento, agora em GA, permite a verificação de blobs existentes em contas de Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas na interface do usuário do portal do Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, guias estratégicos de Automação e scripts do PowerShell. Esse recurso usa o Microsoft Defender Antivírus com as definições de malware mais recentes para cada exame e fornece estimativa de custo inicial no portal do Azure antes de examinar.
Casos de uso:
- Resposta a incidentes: examine contas de armazenamento específicas depois de detectar atividades suspeitas.
- Linha de base de segurança: examine todos os dados armazenados ao habilitar o Defender para Armazenamento pela primeira vez.
- Conformidade: defina a automação para agendar verificações que ajudam a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte a Verificação de malware sob demanda.
Verificação de malware do Defender para Armazenamento para blobs de até 50 GB
27 de fevereiro de 2025
A verificação de malware do Defender para Armazenamento agora dá suporte a blobs de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado no total de GB escaneados por mês. Para obter mais informações, consulte Controle de custo para verificação de malware no upload.
Avaliação de vulnerabilidade sem agente independente do registro de contêineres para contêineres de runtime do AKS (versão prévia)
23 de fevereiro de 2025
Os planos do Defender para contêineres e de Gerenciamento da Postura de Segurança (GPSN) do Defender para Nuvem agora incluem a avaliação de vulnerabilidade sem agente independente de registro de contêiner para contêineres de runtime do AKS. Esse aprimoramento estende a cobertura de avaliação de vulnerabilidade para incluir a execução de contêineres com imagens de qualquer registro (não restrito a registros com suporte), além de verificar complementos do Kubernetes e ferramentas de terceiros em execução em seus clusters do AKS. Para habilitar esse recurso, verifique se a verificação de computador sem agente está habilitada para sua assinatura nas configurações de ambiente do Defender para Nuvem.
Painel de segurança de Dados e IA (versão prévia)
23 de fevereiro de 2025
O Defender para Nuvem está aprimorando o painel de segurança de dados para incluir a Segurança de IA com o novo painel de segurança de Dados e IA na Versão prévia. O painel fornece uma plataforma centralizada para monitorar e gerenciar os recursos de Dados e IA, juntamente com seus riscos associados e status de proteção.
Os principais benefícios do painel de segurança de Dados e IA incluem:
- Exibição unificada: obtenha uma visão abrangente de todos os recursos organizacionais de Dados de IA.
- Insights de dados: entenda onde seus dados estão armazenados e os tipos de recursos que os contêm.
- Cobertura de proteção: avalie a cobertura de proteção dos seus recursos de Dados e IA.
- Problemas críticos: destaque os recursos que exigem atenção imediata com base em recomendações de alta gravidade, alertas e caminhos de ataque.
- Descoberta de dados confidenciais: localize e resumir recursos de dados confidenciais em seus ativos de nuvem e IA.
- Cargas de trabalho de IA: descubra os volumes de aplicativos de IA, incluindo serviços, contêineres, conjuntos de dados e modelos.
Saiba mais sobre o painel de segurança de Dados e IA.
Calculadora de Custos do MDC (Versão prévia)
19 de fevereiro de 2025
Estamos entusiasmados em apresentar nossa nova Calculadora de Custos do MDC para ajudá-lo a estimar facilmente os custos associados à proteção de seus ambientes de nuvem. Essa ferramenta foi desenvolvida para fornecer uma compreensão clara e precisa de suas despesas, garantindo que você possa planejar e fazer um orçamento de forma eficaz.
Por que usar a calculadora de custos?
Nossa calculadora de custos simplifica o processo de estimativa de custos, permitindo que você defina o escopo de suas necessidades de proteção. Você seleciona os ambientes e os planos que quer habilitar, e a calculadora preenche automaticamente os recursos faturáveis para cada plano, incluindo os descontos aplicáveis. Você terá uma visão abrangente dos seus possíveis custos sem surpresas.
Principais recursos:
Definição de escopo: Selecione os planos e ambientes que lhe interessam. A calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente.
Ajustes automáticos e manuais: A ferramenta permite a coleta automática de dados e ajustes manuais. Você pode modificar a quantidade unitária e os níveis de desconto para ver como as alterações afetam o custo total.
Estimativa de custo abrangente: A calculadora fornece uma estimativa para cada plano e um relatório de custo total. Você recebe uma análise detalhada dos custos, facilitando a compreensão e o gerenciamento de suas despesas.
Suporte multinuvem: Nossa solução funciona para todas as nuvens com suporte, garantindo que você obtenha estimativas de custo precisas, independentemente do seu provedor de nuvem.
Exportar e compartilhar: Depois de ter sua estimativa de custo, você poderá exportá-la e compartilhá-la facilmente para planejamento e aprovações orçamentárias.
Cobertura de 31 novos e aprimorados padrões regulatórios multinuvem
19 de fevereiro de 2025
Estamos entusiasmados em anunciar o suporte aprimorado e expandido de mais de 31 estruturas regulatórias e de segurança no Defender para Nuvem no Azure, AWS & GCP. Esse aprimoramento simplifica o caminho para alcançar e manter a conformidade, reduz o risco de violações de dados e ajuda a evitar multas e danos à reputação.
As estruturas novas e aprimoradas são:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| EU Regulamento Geral sobre a Proteção de Dados (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controles CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Estrutura de Controles de Segurança do Cliente da SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificação de modelo de maturidade de segurança cibernética (CMMC) Nível 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canadá Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles de nuvem do CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Política de Segurança dos Serviços de Informações de Justiça Criminal v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Lei Geral de Proteção de Dados (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Lei Sarbanes Oxley 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Isso se junta aos lançamentos recentes do Serviço de Kubernetes do Azure (AKS) v1.5, do Google Kubernetes Engine (GKE) v1.6, e do Amazon Elastic Kubernetes Service (EKS) v1.5 do CIS de alguns meses atrás.
Para obter mais informações sobre a oferta de Conformidade Regulatória do Defender para Nuvem, saiba mais>
Janeiro de 2025
| Date | Category | Update |
|---|---|---|
| 30 de janeiro | GA | Atualizar para verificar critérios de registros de contêiner |
| 29 de janeiro | Change | Aprimoramentos para a varredura de Avaliação de Vulnerabilidades em Contêineres, da plataforma MDVM |
| 27 de janeiro | GA | Permissões adicionadas ao conector GCP para dar suporte a plataformas de IA |
| 20 de janeiro | Change | Aprimoramentos para a recomendação de Linhas de Base do Linux, da plataforma GC |
Atualização dos critérios de varredura para registros de contêineres
30 de janeiro de 2025
Estamos atualizando um dos critérios de verificação para imagens do Registro na recomendação de visualização para imagens do Registro em todas as nuvens e registros externos (Azure, AWS, GCP, Docker, JFrog).
O que está mudando?
Atualmente, reanalisamos as imagens por 90 dias após serem enviadas para um registro. Isso será alterado para realizar a varredura nos últimos 30 dias.
Note
Não há alterações nas recomendações de GA relacionadas à avaliação de vulnerabilidades (VA) em contêineres para imagens de registro.
Aprimoramentos para a varredura de Avaliação de Vulnerabilidades em Contêineres, da plataforma MDVM
29 de janeiro de 2025
Estamos empolgados em anunciar aprimoramentos na cobertura da nossa varredura de avaliação de vulnerabilidades em contêineres com as seguintes atualizações:
Linguagens de programação adicionais: agora dá suporte a PHP, Ruby e Rust.
Suporte estendido à linguagem Java: inclui a verificação de JARs explodidas.
Melhor uso de memória: desempenho otimizado ao ler arquivos de imagem de contêiner grandes.
Permissões adicionadas ao conector GCP para dar suporte a plataformas de IA
27 de janeiro de 2025
O conector GCP agora tem permissões adicionais para dar suporte à Plataforma de IA do GCP (IA do Vértice):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Aprimoramentos para a recomendação de Linhas de Base do Linux, da plataforma GC
20 de janeiro de 2025
Estamos aprimorando o recurso Linhas de Base do Linux (da plataforma GC) para melhorar sua precisão e cobertura. Durante o mês de fevereiro, você pode notar mudanças, como nomes de regras atualizados e regras adicionais. Essas melhorias foram projetadas para tornar a avaliação de linhas de base mais precisa e atualizada. Para obter mais informações sobre as alterações, consulte o blog relevante
Algumas das mudanças podem incluir alterações adicionais de "visualização pública". Esta atualização é benéfica para você e queremos mantê-lo informado. Se preferir, você pode optar por não receber esta recomendação, isentando-a de seu recurso ou removendo a extensão da GC.
Dezembro de 2024
| Date | Category | Update |
|---|---|---|
| 31 de dezembro | GA | Alterações no intervalo de verificação de conectores de nuvem existentes |
| 22 de dezembro | GA | A atualização da versão do cliente do Microsoft Defender for Endpoint é necessária para receber a experiência de Monitoramento de Integridade de Arquivos (FIM) |
| 17 de dezembro | Preview | Integrar a CLI do Defender para Nuvem com ferramentas populares de CI/CD |
| 10 de dezembro | GA | Experiência de Instalação do Defender para Nuvem |
| 10 de dezembro | GA | Opções de intervalo revisadas para a verificação do Defender para Nuvem em um ambiente de nuvem |
| 17 de dezembro | GA | Os recursos de verificação de confidencialidade agora incluem compartilhamentos de arquivos do Azure |
Alterações no intervalo de verificação dos conectores de nuvem existentes
31 de dezembro de 2024
No início deste mês, uma atualização foi publicada sobre as opções de intervalo revisadas do Defender para Nuvem para verificar um ambiente de nuvem. A configuração do intervalo de verificação determina a frequência com que os serviços de descoberta do Defender para Nuvem verificam seus recursos de nuvem. Essa alteração garante um processo de verificação mais equilibrado, otimizando o desempenho e minimizando o risco de atingir os limites da API.
As configurações de intervalo de verificação para conectores de nuvem AWS e GCP existentes serão atualizadas para garantir a capacidade do Defender para Nuvem de verificar seus ambientes de nuvem.
Os seguintes ajustes serão feitos:
- Intervalos atualmente definidos entre 1 e 3 horas serão atualizados para 4 horas.
- Intervalos definidos como 5 horas serão atualizados para 6 horas.
- Intervalos definidos entre 7 a 11 horas serão atualizados para 12 horas.
- Intervalos de 13 horas ou mais serão atualizados para 24 horas.
Se preferir um intervalo de verificação diferente, você poderá ajustar conectores de nuvem usando a página de configurações de ambiente. Essas alterações serão aplicadas automaticamente a todos os clientes no início de fevereiro de 2025 e nenhuma ação adicional será necessária.
As funcionalidades de verificação de confidencialidade agora incluem compartilhamentos de arquivos do Azure
17 de dezembro de 2024
As funcionalidades de verificação de confidencialidade do Gerenciamento da Postura de Segurança (CSPM) do Defender para Nuvem agora incluem compartilhamentos de arquivos do Azure em GA, além de contêineres de blobs.
Antes dessa atualização, habilitar o plano do GPSN do Defender em uma assinatura verificaria automaticamente os contêineres de blob nas contas de armazenamento em busca de dados confidenciais. Com essa atualização, o recurso de verificação de confidencialidade do Defender para GPSN agora inclui os compartilhamentos de arquivos dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção das contas de armazenamento confidenciais, fornecendo uma análise mais abrangente dos riscos potenciais.
Saiba mais sobre a verificação de confidencialidade.
Integrar a CLI do Defender para Nuvem com ferramentas populares de CI/CD
A integração de verificação da CLI do Defender para Nuvem com ferramentas populares de CI/CD no Microsoft Defender para Nuvem agora está disponível para visualização pública. A CLI agora pode ser incorporada em pipelines de CI/CD para verificar e identificar vulnerabilidades de segurança no código-fonte em contêineres. Esse recurso auxilia as equipes de desenvolvimento na detecção e no endereçamento de vulnerabilidades de código durante a execução do pipeline. Ele requer autenticação no Microsoft Defender para Nuvem e modificações no script de pipeline. Os resultados da verificação serão carregados no Microsoft Defender para Nuvem, permitindo que as equipes de segurança os exibam e os correlacionem com contêineres no registro de contêiner. Essa solução fornece insights contínuos e automatizados para agilizar a detecção e a resposta de riscos, garantindo a segurança sem interromper os fluxos de trabalho.
Casos de uso:
- Verificação de pipeline em ferramentas de CI/CD: monitore com segurança todos os pipelines que invocam a CLI.
- Detecção de vulnerabilidades antecipada: os resultados são publicados no pipeline e enviados para o Microsoft Defender para Nuvem.
- Insights contínuos de segurança: mantenha a visibilidade e responda rapidamente em todos os ciclos de desenvolvimento sem prejudicar a produtividade.
Para obter mais informações, consulte Integrar a CLI do Defender para Nuvem com ferramentas populares de CI/CD.
Experiência de configuração do Defender para Nuvem
10 de dezembro de 2024
A experiência de configuração permite que você inicie sua jornada com o Microsoft Defender para Nuvem conectando ambientes de nuvem, como infraestrutura de nuvem, repositórios de código e registros de contêiner externos.
Você é orientado durante a configuração do seu ambiente de nuvem para proteger seus ativos com planos de segurança avançados, realizar ações rápidas para aumentar a cobertura de segurança em escala, ficar ciente de problemas de conectividade e ser notificado sobre novas funcionalidades de segurança. Você pode navegar até a nova experiência no menu Defender para Nuvem selecionando Instalação.
Opções de intervalo revisadas para a verificação do Defender para Nuvem em um ambiente de nuvem
10 de dezembro de 2024
As opções de intervalo de verificação para conectores de nuvem associados ao AWS, GCP, Jfrog e DockerHub foram revisadas. O recurso de intervalo de verificação permite controlar a frequência na qual o Defender para Nuvem inicia uma verificação do ambiente de nuvem. Você pode definir o intervalo de verificação para 4, 6, 12 ou 24 horas ao adicionar ou editar um conector de nuvem. O intervalo de verificação padrão para novos conectores continua sendo de 12 horas.
A atualização da versão do cliente do Microsoft Defender for Endpoint é necessária para receber a experiência de Monitoramento de Integridade de Arquivos (FIM)
Junho de 2025
A partir de junho de 2025, o Monitoramento de Integridade de Arquivos (FIM) requer uma versão mínima do cliente do Microsoft Defender para Endpoint. Certifique-se de que você tenha, no mínimo, as seguintes versões de cliente para continuar se beneficiando da experiência FIM no Microsoft Defender para Nuvem: para Windows: 10.8760, para Linux: 30.124082. Saiba mais
Novembro de 2024
Os recursos de verificação de confidencialidade agora incluem os compartilhamentos de arquivos do Azure (versão prévia)
28 de novembro de 2024
Os recursos de verificação de confidencialidade do Gerenciamento da Postura de Segurança na Nuvem (GPSN) agora incluem os compartilhamentos de arquivos do Azure (em versão prévia) além de contêineres de blob.
Antes dessa atualização, habilitar o plano do GPSN do Defender em uma assinatura verificaria automaticamente os contêineres de blob nas contas de armazenamento em busca de dados confidenciais. Com essa atualização, o recurso de verificação de confidencialidade do Defender para GPSN agora inclui os compartilhamentos de arquivos dentro dessas contas de armazenamento. Esse aprimoramento melhora a avaliação de riscos e a proteção das contas de armazenamento confidenciais, fornecendo uma análise mais abrangente dos riscos potenciais.
Saiba mais sobre a verificação de confidencialidade.
Alterações no consentimento do rótulo de confidencialidade
26 de novembro de 2024
Você não precisa mais selecionar o botão de consentimento dedicado na seção "Proteção de Informações" na página "Rótulos", para se beneficiar de tipos de informações personalizadas e rótulos de confidencialidade configurados no portal do Microsoft 365 Defender ou no portal do Microsoft Purview.
Com essa alteração, todos os tipos de informações personalizados e rótulos de confidencialidade serão importados automaticamente para o portal do Microsoft Defender para Nuvem.
Saiba mais sobre as configurações de confidencialidade de dados.
Alterações no rótulo de confidencialidade
26 de novembro de 2024
Até recentemente, o Defender para Nuvem importava todos os rótulos de confidencialidade do portal do Microsoft 365 Defender que atendiam às duas condições a seguir:
- Rótulos de confidencialidade que têm seu escopo definido como "Itens -> Arquivos" ou "Itens -> Emails" na seção "Definir o escopo do rótulo" na seção Proteção de Informações.
- O rótulo de confidencialidade tem uma regra de rotulagem automática configurada.
A partir de 26 de novembro de 2024, os nomes dos escopos do rótulo de confidencialidade na interface do usuário (UI) foram atualizados no portal do Microsoft 365 Defender e no portal do Microsoft Purview. O Defender para Nuvem agora importará somente rótulos de confidencialidade com o escopo "Arquivos e outros ativos de dados" aplicado a eles. O Defender para Nuvem não importa mais rótulos com o escopo "Emails" aplicado a eles.
Note
Os rótulos configurados com "Itens -> Arquivos" antes dessa alteração serão migrados automaticamente para o novo escopo "Arquivos e outros ativos de dados".
Saiba mais sobre como configurar rótulos de confidencialidade.
Verificação de malware do Defender para Armazenamento para blobs de até 50 GB (versão prévia)
25 de novembro de 2024
Data estimada para alteração: 1º de dezembro de 2024
A partir de 1º de dezembro de 2024, a verificação de malware do Defender para Armazenamento oferecerá suporte a blobs de até 50 GB de tamanho (anteriormente limitado a 2 GB).
Observe que, para contas de armazenamento em que blobs grandes são carregados, o limite de tamanho de blob aumentado resultará em cobranças mensais mais altas.
Para evitar cobranças altas inesperadas, convém definir um limite apropriado para o total de GB verificados por mês. Para obter mais informações, consulte Controle de custo para verificação de malware no upload.
Versões atualizadas dos padrões CIS para ambientes do Kubernetes gerenciado e novas recomendações
19 de novembro de 2024
O painel de conformidade regulatória do Defender para Nuvem agora oferece versões atualizadas dos padrões do Centro de Segurança da Internet (CIS) para avaliar a postura de segurança dos ambientes do Kubernetes gerenciado.
No painel, você pode atribuir os seguintes padrões aos recursos do Kubernetes do AWS/EKS/GKE:
- Serviço de Kubernetes do Azure (AKS) do CIS v1.5.0
- Serviço de Kubernetes do Google (GKE) do CIS v1.6.0
- Serviço de Kubernetes Elástico da Amazon (EKS) do CIS v1.5.0
Para garantir a melhor profundidade possível de cobertura para esses padrões, enriquecemos nossa cobertura lançando também 79 novas recomendações centradas no Kubernetes.
Para usar essas novas recomendações, atribua os padrões listados acima ou crie um padrão personalizado e inclua uma ou mais das novas avaliações nele.
Visualização pública dos eventos de processo de nuvem do Kubernetes na busca avançada
Estamos anunciando a versão prévia dos eventos de processo de nuvem do Kubernetes na busca avançada. Essa integração avançada fornece informações detalhadas sobre os eventos de processo do Kubernetes que ocorrem nos seus ambientes multinuvem. Você pode usá-lo para descobrir ameaças que podem ser observadas pelos detalhes do processo, como processos mal-intencionados invocados na sua infraestrutura de nuvem. Para obter mais informações, consulte CloudProcessEvents.
Substituição do recurso BYOL (traga sua própria licença) no Gerenciamento de Vulnerabilidades
19 de novembro de 2024
Data estimada para alteração:
3 de fevereiro de 2025: o recurso não estará mais disponível para integração de novos computadores e assinaturas.
1º de maio de 2025: o recurso será totalmente preterido e não estará mais disponível.
Como parte dos nossos esforços para melhorar a experiência de segurança do Defender para Nuvem, estamos simplificando nossas soluções de avaliação de vulnerabilidade. Estamos removendo o recurso "Traga sua própria licença" no Defender para Nuvem. Agora você usará os conectores do Gerenciamento de Exposição de Segurança da Microsoft para uma solução mais direta, integrada e completa.
Recomendamos que você faça a transição para a nova solução de conector no Gerenciamento de Exposição de Segurança da Microsoft. Nossa equipe está aqui para ajudar você durante essa transição.
Para obter mais informações sobre como usar os conectores, consulte Visão geral da conexão de fontes de dados no Gerenciamento de Exposição de Segurança da Microsoft – Gerenciamento de Exposição de Segurança da Microsoft.
Digitalização de código sem agente no Microsoft Defender para Nuvem (Versão prévia)
19 de novembro de 2024
A digitalização de código sem agente no Microsoft Defender para Nuvem agora está disponível para versão preliminar pública. Ele oferece segurança rápida e escalonável para todos os repositórios em organizações do Azure DevOps com um conector. Essa solução ajuda as equipes de segurança a localizar e corrigir vulnerabilidades em configurações de código e infraestrutura como código (IaC) em ambientes do Azure DevOps. Ele não requer agentes, alterações em pipelines ou interrupções nos fluxos de trabalho do desenvolvedor, simplificando a configuração e a manutenção. Ele funciona independentemente de pipelines de CI/CD (integração contínua e entrega contínua). A solução fornece insights contínuos e automatizados para acelerar a detecção e a resposta de risco, garantindo a segurança sem interromper fluxos de trabalho.
Casos de uso:
- Verificação em toda a organização: Você pode monitorar com segurança todos os repositórios em organizações do Azure DevOps com um conector.
- Detecção de vulnerabilidade precoce: Localize rapidamente os riscos de código e IaC para gerenciamento proativo de riscos.
- Insights de segurança contínua: mantenha visibilidade e responda rapidamente em ciclos de desenvolvimento sem afetar a produtividade.
Para obter mais informações, consulte a verificação de código sem agente no Microsoft Defender para Nuvem.
Verificação de malware sob demanda no Microsoft Defender para Armazenamento (Versão Prévia)
19 de novembro de 2024
A verificação de malware sob demanda no Microsoft Defender para Armazenamento, agora em versão prévia pública, permite examinar blobs existentes em contas de Armazenamento do Azure sempre que necessário. As verificações podem ser iniciadas na interface do usuário do portal do Azure ou por meio da API REST, dando suporte à automação por meio de Aplicativos Lógicos, guias estratégicos de Automação e scripts do PowerShell. Esse recurso usa o Microsoft Defender Antivírus com as definições de malware mais recentes para cada exame e fornece estimativa de custo inicial no portal do Azure antes de examinar.
Casos de uso:
- Resposta a incidentes: examine contas de armazenamento específicas depois de detectar atividades suspeitas.
- Linha de base de segurança: examine todos os dados armazenados ao habilitar o Defender para Armazenamento pela primeira vez.
- Conformidade: defina a automação para agendar verificações que ajudam a atender aos padrões regulatórios e de proteção de dados.
Para obter mais informações, consulte a Verificação de malware sob demanda.
Suporte ao registro de contêiner JFrog Artifactory pelo Microsoft Defender para contêineres (Versão prévia)
18 de novembro de 2024
Esse recurso estende a cobertura do Microsoft Defender para contêineres de registros externos para incluir o JFrog Artifactory. Suas imagens de contêiner do JFrog Artifactory são verificadas usando o Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar ameaças à segurança e reduzir possíveis riscos à segurança.
O gerenciamento de postura de segurança de IA agora está disponível para o público em geral (GA)
18 de novembro de 2024
Os recursos de gerenciamento de postura de segurança de IA do Defender para Nuvem agora estão disponíveis para o público em geral (GA).
O Defender para Nuvem reduz o risco de cargas de trabalho de IA de nuvem cruzada:
Descobrindo a lista de materiais de IA generativa, que inclui componentes do aplicativo, dados e artefatos de IA do código para a nuvem.
Fortalecendo a postura de segurança de aplicativos de IA generativa com recomendações internas e explorando e corrigindo riscos de segurança.
Usando a análise do caminho de ataque para identificar e corrigir os riscos.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Proteção de ativos críticos no Microsoft Defender para Nuvem
18 de novembro de 2024
Hoje, estamos empolgados em anunciar a Disponibilidade Geral da Proteção de Ativos Críticos no Microsoft Defender para Nuvem. Esse recurso permite que os administradores de segurança marquem os recursos "joia da coroa" mais críticos para suas organizações, permitindo que o Defender para Nuvem forneça a eles o nível mais alto de proteção e priorize os problemas de segurança nesses ativos acima de todos os outros. Saiba mais sobre a proteção de ativos críticos.
Juntamente com a versão de Disponibilidade Geral, também estamos expandindo o suporte para marcar o Kubernetes e recursos de identidade não humanos.
Proteção de ativo crítica aprimorada para contêineres
18 de novembro de 2024
A proteção crítica de ativos é estendida para dar suporte a casos de uso adicionais para contêineres.
Agora, os usuários podem criar regras personalizadas que marcam ativos gerenciados pelo Kubernetes (cargas de trabalho, contêineres etc.) como críticas com base no namespace do Kubernetes do ativo e/ou no rótulo do Kubernetes do ativo.
Assim como acontece com outros casos críticos de uso de proteção de ativos, o Defender para Nuvem leva em conta a criticidade do ativo para priorização de risco, análise de caminho de ataque e gerenciador de segurança.
Aprimoramentos para detectar e responder a ameaças de contêiner
18 de novembro de 2024
O Defender para Nuvem fornece um conjunto de novos recursos para capacitar as equipes do SOC a enfrentar ameaças de contêiner em ambientes nativos de nuvem com maior velocidade e precisão. Esses aprimoramentos incluem Análise de Ameaças, recursos de GoHunt, resposta guiada do Microsoft Security Copilot e ações de resposta nativa de nuvem para pods do Kubernetes.
Apresentando ações de resposta nativa de nuvem para pods do Kubernetes (Versão Prévia)
O Defender para Nuvem agora oferece ações de resposta multinuvem para pods do Kubernetes, acessíveis exclusivamente no portal do Defender XDR. Esses recursos aprimoram a resposta a incidentes para clusters AKS, EKS e GKE.
Veja a seguir novas ações de resposta:
Isolamento de rede – bloqueie instantaneamente todo o tráfego para um pod, impedindo a movimentação lateral e a exfiltração de dados. Requer a configuração de política de rede no cluster do Kubernetes.
Encerramento do pod – encerrar rapidamente pods suspeitos, interrompendo a atividade mal-intencionada sem interromper o aplicativo mais amplo.
Essas ações capacitam as equipes do SOC a conter ameaças efetivamente em ambientes de nuvem.
Relatório de Análise de Ameaças para contêineres
Estamos apresentando um relatório dedicado de Análise de Ameaças, projetado para fornecer visibilidade abrangente das ameaças direcionadas aos ambientes em contêineres. Este relatório equipa as equipes SOC com insights para detectar e responder aos padrões de ataque mais recentes em clusters do AKS, EKS e GKE.
Principais destaques:
- Análise detalhada das principais ameaças e técnicas de ataque associadas em ambientes do Kubernetes.
- Recomendações acionáveis para fortalecer sua postura de segurança nativa de nuvem e reduzir os riscos emergentes.
GoHunt para pods do Kubernetes e recursos do Azure
O GoHunt agora estende seus recursos de busca para incluir pods do Kubernetes e recursos do Azure, no portal do Defender XDR. Esse recurso aprimora a busca proativa de ameaças, permitindo que os analistas do SOC realizem investigações detalhadas em cargas de trabalho nativas de nuvem.
Principais recursos:
- Recursos avançados de consulta para detectar anomalias em pods do kubernetes e recursos do Azure, oferecendo um contexto mais avançado para análise de ameaças.
- Integração perfeita com entidades do Kubernetes para busca e investigação eficientes de ameaças.
Resposta guiada do Copilot de Segurança para pods do Kubernetes
Apresentando a Resposta Guiada para pods do Kubernetes, um recurso alimentado pelo Security Copilot. Essa nova funcionalidade fornece diretrizes passo a passo em tempo real, ajudando as equipes do SOC a responder às ameaças de contêiner de forma rápida e eficaz.
Principais benefícios:
- Guias estratégicos de resposta contextual adaptados a cenários comuns de ataque do Kubernetes.
- Especialista, suporte em tempo real do Security Copilot, fazendo a ponte da lacuna de conhecimento e habilitando uma resolução mais rápida.
A integração nativa de Gerenciamento de Postura de Segurança de API no plano GPSN do Defender agora está em versão preliminar pública
15 de novembro de 2024
Os recursos de gerenciamento de postura de segurança de API (versão prévia) agora estão incluídas no plano GPSN do Defender e podem ser ativadas por meio de extensões dentro do plano na página de configurações do ambiente. Para obter mais informações, consulte Melhore a segurança da sua API (Prévia).
Proteção de contêiner aprimorada com avaliação de vulnerabilidades e detecção de malware para nós do AKS (Versão Prévia)
13 de novembro de 2024
O Defender para Nuvem agora fornece avaliação de vulnerabilidade e detecção de malware para os nós no AKS (Serviço de Kubernetes do Azure) e fornece clareza aos clientes de sua parte na responsabilidade de segurança compartilhada que eles têm com o provedor de nuvem gerenciado.
Fornecer proteção de segurança para esses nós do Kubernetes permite que os clientes mantenham a segurança e a conformidade em todo o serviço do Kubernetes gerenciado.
Para receber os novos recursos, você precisa habilitar a opção de verificação sem agente para computadores no plano Defender CSPM, Defender para Contêineres ou Defender para Servidores P2 em sua assinatura.
Avaliação de Vulnerabilidade
Uma nova recomendação agora está disponível no portal do Azure: AKS nodes should have vulnerability findings resolved. Por meio dessa recomendação, agora você pode examinar e corrigir vulnerabilidades e CVEs encontradas em nós do AKS (Serviço de Kubernetes do Azure).
Detecção de software mal-intencionado
Novos alertas de segurança são disparados quando a funcionalidade de detecção de malware sem agente detecta malware em nós do AKS.
A detecção de malware sem agente utiliza o mecanismo antimalware do Microsoft Defender Antivirus para verificar e detectar arquivos mal-intencionados. Quando as ameaças são detectadas, os alertas de segurança são direcionados para o Defender para Nuvem e o Defender XDR, onde podem ser investigados e corrigidos.
Important
A detecção de malware para nós do AKS está disponível apenas para ambientes habilitados para Defender para Contêineres ou Defender para Servidores P2.
Ferramenta Avançada de Simulação e Documentação de Alerta do Kubernetes (K8s)
7 de novembro de 2024
Características principais
- Documentação de alerta baseada em cenário: os alertas K8s agora estão documentados com base em cenários do mundo real, fornecendo diretrizes mais claras sobre possíveis ameaças e ações recomendadas.
- Integração do Microsoft Defender para Ponto de Extremidade (MDE): os alertas são enriquecidos com contexto adicional e inteligência contra ameaças do MDE, melhorando a capacidade de responder com eficiência.
- Nova Ferramenta de Simulação: uma poderosa ferramenta de simulação está disponível para testar sua postura de segurança simulando vários cenários de ataque e gerando alertas correspondentes.
Benefits
- Melhor compreensão de alertas: a documentação baseada em cenário fornece uma compreensão mais intuitiva dos alertas K8s.
- Resposta aprimorada contra ameaças: os alertas são enriquecidos com contexto valioso, permitindo respostas mais rápidas e precisas.
- Teste de segurança proativo: a nova ferramenta de simulação permite que você teste suas defesas de segurança e identifique possíveis vulnerabilidades antes que elas sejam exploradas.
Suporte aprimorado para classificar dados confidenciais da API
6 de novembro de 2024
O Microsoft Defender para Nuvem estende os recursos de classificação de dados confidenciais da Segurança de API ao caminho da URL da API e aos parâmetros de consulta, juntamente com a solicitação e as respostas da API, incluindo a origem das informações confidenciais encontradas nas propriedades da API. Essas informações estarão disponíveis na experiência análise de caminho de ataque, na página Detalhes Adicionais do Gerenciador de Segurança de Nuvem quando as operações de Gerenciamento de API com dados confidenciais forem selecionadas e no Painel de Segurança da API sob as Proteções de Carga de Trabalho na página de detalhes da coleção de API, com um novo menu de contexto lateral que fornece informações detalhadas sobre dados confidenciais encontrados, permitindo que as equipes de segurança localizem e reduzam com eficiência os riscos de exposição de dados.
Note
Essa alteração incluirá uma distribuição única para os clientes existentes do Defender para APIs e do Defender CSPM.
Novo suporte para mapeamento dos pontos de extremidade da API de Gerenciamento de API do Azure para a computação de back-end
6 de novembro de 2024
A postura de segurança da API do Defender para Nuvem agora suporta o mapeamento dos pontos de extremidade da API publicados através do Gateway de Gerenciamento de API do Azure nos recursos de computação de back-end, como máquinas virtuais, no Explorador de Segurança da Nuvem do Gerenciamento de Postura de Segurança da Nuvem do Defender (Defender CSPM). Essa visibilidade ajuda a identificar o roteamento do tráfego da API nos destinos de computação em nuvem de back-end, permitindo que você detecte e resolva os riscos de exposição associados aos pontos de extremidade da API e seus recursos de back-end conectados.
Suporte de segurança de API aprimorado para implantações multirregionais do Azure Gerenciamento de API e gerenciamento de revisões de API
6 de novembro de 2024
A cobertura de segurança da API no Defender para Nuvem agora terá suporte total para implantações multirregionais do Azure Gerenciamento de API, incluindo postura de segurança completa e suporte à detecção de ameaças para regiões primárias e secundárias
A integração e a exclusão de APIs no Defender para APIs agora serão gerenciadas no nível da API de Gerenciamento de API do Azure. Todas as revisões associadas do Gerenciamento de API do Azure serão incluídas automaticamente no processo, eliminando a necessidade de gerenciar o onboarding e o offboarding de cada revisão de API individualmente.
Essa alteração incluirá uma distribuição única para clientes existentes do Defender para APIs.
Detalhes da distribuição:
- A distribuição ocorrerá durante a semana de 6 de novembro para clientes existentes do Microsoft Defender para APIs.
- Se a revisão 'atual' de uma API de Gerenciamento de API do Azure já estiver integrada ao Defender para APIs, todas as revisões associadas a essa API também serão integradas automaticamente ao Defender para APIs.
- Se a revisão “atual” para uma API de Gerenciamento de API do Azure não estiver integrada ao Microsoft Defender para APIs, todas as revisões de API associadas que foram integradas ao Microsoft Defender para APIs serão removidas.
Outubro de 2024
A experiência de migração do MMA está disponível agora
28 de outubro de 2024
Agora é possível garantir que todos os seus ambientes estejam totalmente preparados para a substituição pós-agente do Log Analytics (MMA) prevista para o final de novembro de 2024.
O Defender para Nuvem adicionou uma nova experiência que permite tomar medidas em escala para todos os seus ambientes afetados:
- Faltam pré-requisitos necessários para obter a cobertura de segurança completa oferecida pelo plano 2 do Defender para servidores.
- Isso está conectado ao plano 2 do Defender para servidores usando a abordagem de integração herdada por meio do workspace do Log Analytics.
- Isso usa a versão antiga do FIM (Monitoramento de Integridade do Arquivo) com o MMA (agente do Log Analytics) precisando migrar para a nova versão do FIM aprimorada com o MDPE (Microsoft Defender para Ponto de Extremidade).
Saiba como usar a nova experiência de migração do MMA.
As descobertas de segurança para repositórios do GitHub sem a Segurança Avançada do GitHub agora são GA
21 de outubro de 2024
A capacidade de receber descobertas de segurança para configurações incorretas de IaC (infraestrutura como código), vulnerabilidades de contêiner e pontos fracos de código para repositórios do GitHub sem a Segurança Avançada do GitHub agora está disponível em geral.
Observe que a verificação secreta, a verificação de código usando o GitHub CodeQL e a verificação de dependência ainda exigem a Verificação Avançada do GitHub.
Para saber mais sobre as licenças necessárias, consulte a página de suporte do DevOps. Para saber como integrar seu ambiente do GitHub ao Defender para Nuvem, siga o guia de integração do GitHub. Para saber como configurar o Microsoft Security DevOps GitHub Action, consulte nossa documentação do GitHub Action.
Substituição de três padrões de conformidade
14 de outubro de 2024
Data estimada para alteração: 17 de novembro de 2024
Três padrões de conformidade estão sendo removidos do produto:
- SWIFT CSP-CSCF v2020 (para o Azure) – Isso foi substituído pela versão v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 e v1.3.0 – temos duas versões mais recentes disponíveis (v1.4.0 e v2.0.0)
Saiba mais sobre os padrões de conformidade disponíveis no Defender para Nuvem nos padrões de conformidade disponíveis.
Substituição de três padrões do Defender para Nuvem
8 de outubro de 2024
Data estimada para alteração: 17 de novembro de 2024
Para simplificar o gerenciamento do Defender para Nuvem com contas do AWS e projetos GCP, estamos removendo os três seguintes padrões do Defender para Nuvem:
- Para AWS – AWS CSPM
- Para GCP – GCP CSPM e GCP Padrão
O padrão padrão, o Microsoft Cloud Security Benchmark (MCSB), agora contém todas as avaliações que eram exclusivas para esses padrões.
Detecção de descompasso binário lançada como GA
9 de outubro de 2024
A detecção de descompasso binário agora é lançada como GA no plano defender para contêiner. Observe que a detecção de descompasso binário agora funciona em todas as versões do AKS.
Recomendações atualizadas de runtime de contêineres (versão prévia)
6 de outubro de 2024
As recomendações em versão prévia para "Contêineres em execução na AWS/Azure/GCP devem ter vulnerabilidades resolvidas" foram atualizadas para agrupar todos os contêineres que fazem parte da mesma carga de trabalho em uma única recomendação, reduzindo duplicações e evitando flutuações devido a contêineres novos e encerrados.
A partir de 6 de outubro de 2024, as seguintes IDs de avaliação serão substituídas por estas recomendações:
| Recommendation | ID da avaliação anterior | ID da nova avaliação |
|---|---|---|
| -- | -- | -- |
| Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Os contêineres em execução na AWS devem ter as descobertas de vulnerabilidade resolvidas | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Os contêineres em execução na GCP devem ter as descobertas de vulnerabilidade resolvidas | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Se você estiver atualmente recuperando relatórios de vulnerabilidade dessas recomendações por meio da API, certifique-se de atualizar a chamada à API com a nova ID de avaliação.
Informações de identidade e acesso do Kubernetes no grafo de segurança (versão prévia)
6 de outubro de 2024
As informações de identidade e acesso do Kubernetes são adicionadas ao grafo de segurança, incluindo nós que representam todos os direitos relacionados ao RBAC (controle de acesso baseado em função) do Kubernetes (contas de serviço, funções, associações de função, etc.) e arestas que representam as permissões entre os objetos do Kubernetes. Os clientes agora podem consultar o grafo de segurança para seu RBAC do Kubernetes e as relações relacionadas entre as entidades do Kubernetes (pode autenticar como, pode representar como, concede função, acesso definido por, concede acesso a, tem permissão para etc.).
Caminhos de ataque baseados em informações de identidade e acesso do Kubernetes (versão prévia)
6 de outubro de 2024
Usando os dados de RBAC do Kubernetes no grafo de segurança, o Defender para Nuvem agora detecta movimentos laterais de Kubernetes para Kubernetes, de Kubernetes para a Nuvem, e movimentos laterais internos no Kubernetes, relatando outros caminhos de ataque onde invasores podem abusar da autorização do Kubernetes e da Nuvem para movimentos laterais para, de e dentro de clusters do Kubernetes.
Análise aprimorada de caminhos de ataque para contêineres
6 de outubro de 2024
O novo mecanismo de análise de caminho de ataque lançado em novembro passado agora também dá suporte a casos de uso de contêiner, detectando dinamicamente novos tipos de caminhos de ataque em ambientes de nuvem com base nos dados adicionados ao grafo. Agora podemos encontrar mais caminhos de ataque para contêineres e detectar padrões de ataque mais complexos e sofisticados utilizados por invasores para infiltrar ambientes de nuvem e Kubernetes.
Descoberta completa de imagens de contêiner em registros com suporte
6 de outubro de 2024
O Defender para Nuvem agora coleta dados de inventário para todas as imagens de contêiner em registros com suporte, proporcionando visibilidade completa dentro do grafo de segurança para todas as imagens em seus ambientes de nuvem, incluindo aquelas que atualmente não possuem recomendações de postura.
Os recursos de consulta através do Cloud Security Explorer foram aprimorados, permitindo que os usuários agora busquem imagens de contêiner com base em seus metadados (resumo, repositório, sistema operacional, marca etc.).
Inventário de software de contêineres com o Cloud Security Explorer
6 de outubro de 2024
Os clientes agora podem obter uma lista de software instalado em seus contêineres e imagens de contêiner por meio do Cloud Security Explorer. Essa lista também pode ser usada para obter rapidamente outras informações sobre o ambiente do cliente, como encontrar todos os contêineres e imagens de contêiner com software impactado por uma vulnerabilidade de dia zero, mesmo antes da publicação de um CVE.
Setembro de 2024
Melhorias na experiência do Cloud Security Explorer
22 de setembro de 2024
Data estimada para alteração: Outubro de 2024
O Cloud Security Explorer está sendo aprimorado para melhorar o desempenho e a funcionalidade da grade, fornecer mais enriquecimento de dados sobre cada ativo em nuvem, aprimorar as categorias de pesquisa e melhorar o relatório de exportação em CSV, com mais informações sobre os ativos em nuvem exportados.
Disponibilidade geral do Monitoramento de integridade do arquivo com base no Microsoft Defender para ponto de extremidade
18 de setembro de 2024
A nova versão do Monitoramento de Integridade de Arquivos com base no Microsoft Defender para Ponto de Extremidade agora está em GA como parte do Plano 2 do Defender para Servidores. FIM permite que você:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Essa experiência aprimorada do FIM substitui a existente definida para substituição pela desativação do MMA (Agente do Log Analytics). A Experiência FIM sobre o MMA permanecerá apoiada até o final de novembro de 2024.
Com esse lançamento, uma experiência no produto será lançada para permitir migrar sua configuração do FIM sobre o MMA para a nova versão do FIM sobre o Microsoft Defender para ponto de extremidade.
Para obter informações sobre como habilitar o FIM no Defender para Ponto de Extremidade, consulte Monitoramento de integridade do arquivo usando Microsoft Defender para ponto de extremidade. Para obter informações sobre como desabilitar versões anteriores, consulte Migrar o Monitoramento de Integridade de Arquivos das versões anteriores.
A experiência de migração do FIM está disponível no Defender para Nuvem
18 de setembro de 2024
Uma experiência no produto será lançada para permitir migrar sua configuração do FIM sobre o MMA para a nova versão do FIM sobre o Microsoft Defender para ponto de extremidade. Com esse experiência, você pode:
- Revise o ambiente afetado com a versão anterior do FIM sobre a migração habilitada e necessária para o MMA.
- Exporte suas regras atuais do FIM da experiência baseada em MMA e resida em workspaces
- Migre para assinaturas habilitadas para P2 com o novo FIM sobre MDE.
Para usar a experiência de migração, navegue até o painel Configurações do Ambiente e selecione o botão de migração MMA na linha superior.
Substituição do recurso de provisionamento automático do MMA
18 de setembro de 2024 Como parte da desativação do agente MMA, o recurso de provisionamento automático que fornece a instalação e a configuração do agente para clientes MDC também será preterido em duas etapas:
Até o final de setembro de 2024, o provisionamento automático do MMA será desabilitado para clientes que não estão mais usando a funcionalidade, bem como para assinaturas recém-criadas. Após o final de setembro, a funcionalidade não poderá mais ser reativada nessas assinaturas.
No final de novembro de 2024, o provisionamento automático do MMA será desabilitado em assinaturas que ainda não o desligaram. Desse ponto em diante, não será mais possível habilitar o recurso em assinaturas existentes.
Integração com o Power BI
15 de setembro de 2024
O Defender para Nuvem agora pode se integrar ao Power BI. Essa integração permite que você crie relatórios e dashboards personalizados usando os dados do Defender para Nuvem. Você pode usar o Power BI para visualizar e analisar sua postura de segurança, conformidade e recomendações de segurança.
Saiba mais sobre a nova integração com o Power BI.
Atualização para os requisitos de rede multicloud do CSPM
11 de setembro de 2024
Data estimada para alteração: Outubro de 2024
A partir de outubro de 2024, adicionaremos mais endereços IP aos nossos serviços de descoberta multinuvem para acomodar melhorias e garantir uma experiência mais eficiente para todos os usuários.
Para garantir o acesso ininterrupto de nossos serviços, atualize sua lista de permissões de IP com os novos intervalos fornecidos aqui. Você deve fazer os ajustes necessários nas suas configurações de firewall, grupos de segurança ou outras configurações que possam se aplicar ao seu ambiente. A lista é suficiente para a capacidade total da oferta básica (gratuita) do CSPM.
Substituição de recursos do Defender para servidores
9 de setembro de 2024
Os controles de aplicativos adaptáveis e a proteção de rede adaptável foram descontinuados.
Estrutura de Segurança Nacional Espanhola (Esquema Nacional de Seguridad (ENS) adicionada ao painel de conformidade regulatória do Azure
9 de setembro de 2024
As organizações que querem verificar a conformidade de seus ambientes do Azure com o padrão ENS agora podem fazer isso usando o Defender para Nuvem.
O padrão ENS aplica-se a todo o setor público na Espanha, bem como aos fornecedores que colaboram com a Administração. Ele estabelece princípios básicos, requisitos e medidas de segurança para proteger informações e serviços processados eletronicamente. O objetivo é garantir acesso, confidencialidade, integridade, rastreabilidade, autenticidade, disponibilidade e preservação dos dados.
Confira a lista completa de padrões de conformidade com suporte.
Corrija as recomendações de atualizações e patches do sistema nos seus computadores
8 de setembro de 2024
Agora você pode corrigir atualizações do sistema e recomendações de patches nos computadores habilitados para o Azure Arc e as VMs do Azure. As atualizações e os patches do sistema são cruciais para manter a segurança e a integridade dos seus computadores. As atualizações frequentemente contêm patches de segurança para vulnerabilidades que, se não forem corrigidas, poderão ser exploradas por invasores.
As informações sobre atualizações que estão faltando nos computadores agora são coletadas com o Gerenciador de Atualizações do Azure.
Para manter a segurança dos seus computadores para atualizações e patches do sistema, você precisará habilitar as configurações de atualizações de avaliação periódica nos computadores.
Saiba como corrigir as recomendações de atualizações e patches do sistema em seus computadores.
A integração do ServiceNow agora inclui o módulo de Conformidade de Configuração
4 de setembro de 2024
A integração do plano GPSN do Defender para Nuvem com o ServiceNow agora inclui o módulo de Conformidade de Configuração do ServiceNow. Esse recurso permite identificar, priorizar e corrigir problemas de configuração em seus ativos de nuvem, reduzindo os riscos de segurança e melhorando sua postura geral de conformidade por meio de fluxos de trabalho automatizados e insights em tempo real.
Saiba mais sobre a integração do ServiceNow com o Defender para Nuvem.
O plano de proteção de armazenamento por transação do Defender para Armazenamento (clássico) não está disponível para novas assinaturas
4 de setembro de 2024
Data estimada para alteração: 5 de fevereiro de 2025
Após 5 de fevereiro de 2025, você não poderá ativar o plano de proteção de armazenamento por transação herdado do Defender para Armazenamento (clássico), a menos que ele já esteja habilitado em sua assinatura. Para obter mais informações, consulte Mover para o novo plano do Defender para Armazenamento.
A configuração de convidado do Azure Policy já está em disponibilidade geral (GA)
domingo, 1 de setembro de 2024
A configuração de convidado do Azure Policy do Defender para servidores agora está em disponibilidade geral (GA) para todos os clientes do Plano 2 do Defender para servidores multinuvem. A Configuração de Convidado fornece uma experiência unificada para gerenciar linhas de base de segurança em seu ambiente. Ele permite que você avalie e imponha configurações de segurança em seus servidores, incluindo computadores Windows e Linux, VMs do Azure, instâncias do AWS EC2 e GCP.
Saiba como habilitar a configuração de máquina do Azure Policy no seu ambiente.
Prévia do suporte ao registro de contêineres do Docker Hub pelo Defender para contêineres
domingo, 1 de setembro de 2024
Estamos introduzindo a versão preliminar pública da extensão de cobertura do Microsoft Defender para contêineres para incluir registros externos, começando com os registros de contêiner do Docker Hub. Como parte do Gerenciamento de Postura de Segurança do Microsoft Cloud da sua organização, a extensão da cobertura aos registros de contêiner do Docker Hub oferece os benefícios de verificar as imagens de contêiner do Docker Hub usando o Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar ameaças à segurança e mitigar possíveis riscos de segurança.
Para obter mais informações sobre esse recurso, consulte Avaliação de Vulnerabilidade para o Hub do Docker
Agosto de 2024
| Date | Category | Update |
|---|---|---|
| 28 de agosto | Preview | Nova versão do Monitoramento de integridade do arquivo com base no Microsoft Defender para ponto de extremidade |
| Agosto de 22 | Próximas preterições | Desativação da integração de alertas do Defender para Nuvem com alertas do WAF do Azure |
| 1º de agosto | GA | Habilitar o Microsoft Defender para servidores SQL em computadores em escala |
Nova versão do Monitoramento de integridade do arquivo com base no Microsoft Defender para ponto de extremidade
28 de agosto de 2024
A nova versão do Monitoramento de integridade do arquivo com base no Microsoft Defender para ponto de extremidade agora está em visualização pública. Faz parte do Plano 2 do Defender para servidores. Ele permite:
- Atenda aos requisitos de conformidade monitorando arquivos e registros críticos em tempo real e auditando as alterações.
- Identifique possíveis problemas de segurança detectando alterações suspeitas no conteúdo do arquivo.
Como parte desta versão, a experiência do Experiência FIM sobre o AMA não estará mais disponível no portal do Defender para Nuvem. A Experiência FIM sobre o MMA permanecerá apoiada até o final de novembro de 2024. No início de setembro, será lançada uma experiência no produto que permite migrar sua configuração do FIM sobre o MMA para a nova versão do FIM sobre o Defender para ponto de extremidade.
Para obter informações sobre como habilitar o FIM no Defender para Ponto de Extremidade, consulte Monitoramento de integridade do arquivo usando Microsoft Defender para ponto de extremidade. Para obter informações sobre como migrar de versões anteriores, consulte Migrar o Monitoramento de integridade do arquivo de versões anteriores.
Desativação da integração de alertas do Defender para Nuvem com alertas do WAF do Azure
22 de agosto de 2024
Data estimada da alteração: 25 de setembro de 2024
A integração de alertas do Defender para Nuvem com alertas do WAF do Azure será desativada em 25 de setembro de 2024. Nenhuma ação sua é necessária. Para clientes do Microsoft Sentinel, você pode configurar o conector do Firewall do Aplicativo Web do Azure.
Habilitar o Microsoft Defender para servidores SQL em computadores em escala
1º de agosto de 2024
Agora você pode habilitar o Microsoft Defender para servidores SQL em computadores em escala em nuvens governamentais. Esse recurso permite habilitar o Microsoft Defender para SQL em vários servidores ao mesmo tempo, economizando tempo e esforço.
Saiba como habilitar o Microsoft Defender para servidores SQL em computadores em escala.
Julho de 2024
Disponibilidade geral de recomendações avançadas de descoberta e configuração para proteção de ponto de extremidade
31 de julho de 2024
Recursos aprimorados de descoberta para soluções de proteção de ponto de extremidade e identificação aprimorada de problemas de configuração agora estão em disponibilidade geral e disponíveis para servidores multinuvem. Essas atualizações estão incluídas no Plano 2 do Defender para servidores e gerenciamento da postura de segurança na nuvem (GPSN).
O recurso de recomendações aprimoradas usa verificação de computador sem agente, permitindo a descoberta e a avaliação abrangentes da configuração de soluções de detecção e resposta de ponto de extremidade com suporte. Quando os problemas de configuração são identificados, as etapas de correção são fornecidas.
Com essa versão de disponibilidade geral, a lista de soluções com suporte é expandida para incluir mais duas ferramentas de detecção e resposta de ponto de extremidade:
- Plataforma de singularidade por SentinelOne
- Cortex XDR
Descontinuação da proteção de rede adaptável
31 de julho de 2024
Data estimada para alteração: 31 de agosto de 2024
A proteção de rede adaptável do Defender para servidores está sendo preterida.
A descontinuação de recursos inclui as seguintes experiências:
- Recomendação: recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet [chave de avaliação: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alerta: Tráfego detectado de endereços IP recomendados para bloqueio
Versão preliminar: as avaliações de segurança do GitHub não exigem mais licenciamento adicional
22 de julho de 2024
Os usuários do GitHub no Defender para Nuvem não precisam mais de uma licença do GitHub Advanced Security para visualizar as descobertas de segurança. Isso se aplica às avaliações de segurança quanto aos pontos fracos do código, às configurações incorretas de IaC (infraestrutura como código) e às vulnerabilidades em imagens de contêiner detectadas durante a fase de build.
Os clientes com o GitHub Advanced Security continuarão recebendo avaliações de segurança adicionais no Defender para Nuvem para credenciais expostas, vulnerabilidades em dependências de software livre e descobertas do CodeQL.
Para saber mais sobre a segurança do DevOps no Defender para Nuvem, consulte a Visão Geral de Segurança do DevOps. Para saber como integrar seu ambiente do GitHub ao Defender para Nuvem, siga o guia de integração do GitHub. Para saber como configurar o Microsoft Security DevOps GitHub Action, consulte nossa documentação do GitHub Action .
Atualização das linhas do tempo para a reprovação do MMA no Plano 2 do Defender para servidores
18 de julho de 2024
Data estimada da alteração: agosto de 2024
Com a reprovação futura do agente do Log Analytics em agosto, todo o valor de segurança para a proteção do servidor no Defender para Nuvem dependerá da integração ao MDE (Microsoft Defender para Ponto de Extremidade) como um agente individual e em funcionalidades sem agente fornecidas pela plataforma de nuvem e verificação de computador sem agente.
As seguintes funcionalidades têm linhas do tempo e planos atualizados. Portanto, o suporte para elas no MMA será estendido aos clientes do Defender para Nuvem até o final de novembro de 2024:
FIM (Monitoramento de Integridade de Arquivo): a versão prévia pública da nova versão do FIM no MDE está prevista para agosto de 2024. A versão ga do FIM do agente do Log Analytics continuará com suporte para clientes existentes até o final de novembro de 2024.
Linha de base de segurança: como alternativa à versão baseada no MMA, a versão de visualização atual baseada na Configuração de Convidado será lançada para disponibilidade geral em setembro de 2024. As linhas de base de segurança do sistema operacional alimentadas pelo agente do Log Analytics continuarão a ter suporte para clientes existentes até o final de novembro de 2024.
Para obter mais informações, veja Preparar-se para a aposentadoria do agente Log Analytics.
Descontinuação de recursos relacionados ao MMA como parte da aposentadoria do agente
18 de julho de 2024
Data estimada da alteração: agosto de 2024
Como parte da descontinuação do Microsoft Monitoring Agent (MMA) e da estratégia de implantação atualizada do Defender for Servers, todos os recursos de segurança do Defender for Servers agora serão fornecidos por meio de um único agente (Defender para Ponto de extremidade) ou por meio de recursos de verificação sem agente. Isso não exigirá dependência do MMA ou do Agente de Monitorização do Azure (AMA).
À medida que nos aproximamos da aposentadoria do agente em agosto de 2024, os seguintes recursos relacionados ao MMA serão removidos do portal Defender para Nuvem:
- Exibição do status de instalação do MMA nas folhas Inventário e Integridade do Recurso .
- A capacidade de integrar novos servidores não Azure ao Defender para Servidores por meio de workspaces do Log Analytics será removida das folhas Inventário e Introdução .
Note
Recomendamos que os clientes atuais, que integraram servidores locais usando a abordagem herdada, agora conectem esses computadores por meio de servidores habilitados para Azure Arc. Também recomendamos habilitar o Plano 2 do Defender para servidores nas assinaturas do Azure às quais esses servidores estão conectados.
Para os clientes que habilitaram seletivamente o Defender para servidores Plano 2 em VMs do Azure específicas através da abordagem herdada, habilite o Defender para servidores Plano 2 nas assinaturas do Azure desses computadores. Exclua computadores individuais da cobertura do Defender para Servidores usando a configuração do Defender para Servidores por recurso.
Essas etapas garantirão que não haja perda de cobertura de segurança devido à aposentadoria do agente Log Analytics.
Para manter a continuidade da segurança, aconselhamos os clientes com o Defender for Servers Plano 2 a habilitar a verificação de máquinas sem agente e a integração com o Microsoft Defender para Ponto de Extremidade em suas assinaturas.
Você pode usar essa pasta de trabalho personalizada para acompanhar seu patrimônio do Log Analytics Agent (MMA) e monitorar o status de implantação do Defender para servidores em VMs do Azure e máquinas do Azure Arc.
Para obter mais informações, veja Preparar-se para a aposentadoria do agente Log Analytics.
A visualização pública do Descompasso Binário agora está disponível no Defender para contêineres
Estamos apresentando a versão preliminar pública do descompasso binário para Defender para contêineres. Esse recurso ajuda a identificar e mitigar possíveis riscos de segurança associados a binários não autorizados em seus contêineres. O Descompasso Binário identifica e envia alertas de maneira autônoma sobre processos binários potencialmente prejudiciais em seus contêineres. Além disso, permite que a implementação de uma nova Política de Descompasso Binário controle as preferências de alerta, oferecendo a capacidade de adaptar notificações a necessidades de segurança específicas. Para obter mais informações sobre esse recurso, confira Detecção de Descompasso Binário
Os scripts de correção automatizados para AWS e GCP agora estão em disponibilidade geral
14 de julho de 2024
Em março, lançamos scripts de correção automatizados para AWS e & GCP para Visualização Pública, que permitem corrigir recomendações para AWS e & GCP em escala programaticamente.
Hoje estamos lançando esse recurso para disponibilidade geral (GA). Saiba como usar scripts de correção automatizados.
Atualização de permissões de aplicativo do GitHub
11 de julho de 2024
Data estimada da alteração: 18 de julho de 2024
A segurança do DevOps no Defender para Nuvem está constantemente fazendo atualizações que exigem que os clientes com conectores do GitHub no Defender para Nuvem atualizem as permissões para o aplicativo DevOps da Segurança da Microsoft no GitHub.
Como parte dessa atualização, o aplicativo GitHub exigirá permissões de leitura do GitHub Copilot Business. Essa permissão será usada para ajudar os clientes a proteger melhor suas implantações do GitHub Copilot. Sugerimos atualizar o aplicativo assim que possível.
As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização do GitHub, navegue até o aplicativo DevOps da Segurança da Microsoft em Configurações > Aplicativos do GitHub e aceite a solicitação de permissões.
Em um email automatizado do Suporte do GitHub, selecione Examinar solicitação de permissão para aceitar ou rejeitar essa alteração.
Os padrões de conformidade agora estão em disponibilidade geral
10 de julho de 2024
Em março, adicionamos versões prévias de muitos novos padrões de conformidade para os clientes validarem seus recursos da AWS e GCP.
Esses padrões incluíram os Parâmetro de Comparação CIS do GKE (Google Kubernetes Engine), ISO/IEC 27001 e ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), LGPD (Lei Geral de Proteção de Dados Pessoais) do Brasil, CCPA (Lei de Privacidade do Consumidor da Califórnia) e muito mais.
Esses padrões de versão prévia agora estão em GA (disponibilidade geral).
Confira a lista completa de padrões de conformidade com suporte.
Melhoria da experiência de estoque
9 de julho de 2024
Data estimada para alteração: 11 de julho de 2024
A experiência de estoque será atualizada para melhorar o desempenho, incluindo melhorias na lógica de consulta “Abrir consulta” do painel no Azure Resource Graph. As atualizações na lógica por trás do cálculo de recursos do Azure pode resultar em outros recursos contados e apresentados.
Ferramenta de mapeamento de contêiner a ser executada por padrão no GitHub
8 de julho de 2024
Data estimada para alteração: 12 de agosto de 2024
Com as funcionalidades de segurança do DevOps no Gerenciamento da Postura de Segurança na Nuvem (GPSN) do Microsoft Defender, você pode mapear seus aplicativos nativos da nuvem do código para a nuvem e iniciar facilmente fluxos de trabalho de correção feita por desenvolvedores, reduzindo o tempo para a correção de vulnerabilidades em suas imagens de contêiner. Atualmente, você deve configurar manualmente a ferramenta de mapeamento de imagem de contêiner para executar na ação DevOps da Segurança da Microsoft no GitHub. Com essa alteração, o mapeamento de contêiner será executado por padrão como parte da ação DevOps de Segurança da Microsoft. Saiba mais sobre a ação DevOps de Segurança da Microsoft.
Junho de 2024
| Date | Category | Update |
|---|---|---|
| 27 de junho | GA | Verificação de IaC do Checkov no Defender para Nuvem. |
| 24 de junho | Update | Alteração de preços do Defender para Contêineres multinuvem |
| 20 de junho | Próximas preterições |
Lembrete da preterição de recomendações adaptáveis na preterição do Microsoft Monitoring Agent (MMA). Preterição estimada para agosto de 2024. |
| 10 de junho | Preview | Copilot no Defender para Nuvem |
| 10 de junho | Atualização futura |
Habilitação automática da avaliação de vulnerabilidade do SQL usando a configuração expressa em servidores não configurados. Atualização estimada: 10 de julho de 2024. |
| 3 de junho | Atualização futura |
Alterações no comportamento das recomendações de identidade Atualização estimada: 10 de julho de 2024. |
GA: Verificação de IaC do Checkov no Defender para Nuvem
27 de junho de 2024
Estamos anunciando a disponibilidade geral da integração Checkov para verificação de IaC (Infraestrutura como Código) por meio do MSDO (Microsoft Security DevOps). Como parte dessa versão, o Checkov irá substituir o TerraScan como um analisador de IaC padrão que é executado como parte da Interface de Linha de Comando (CLI) do MSDO. O TerraScan ainda pode ser configurado manualmente por meio das variáveis de ambiente do MSDO, mas não será executado por padrão.
As descobertas de segurança do Checkov são apresentadas como recomendações tanto para o repositório do Azure DevOps quanto do GitHub, nas avaliações As descobertas da infraestrutura como código nos repositórios do Azure DevOps devem ser resolvidas e As descobertas da infraestrutura como código nos repositórios do GitHub devem ser resolvidas.
Para saber mais sobre a segurança do DevOps no Defender para Nuvem, consulte a Visão Geral de Segurança do DevOps. Para saber como configurar a CLI do MSDO, consulte a documentação do Azure DevOps ou do GitHub .
Atualização: Alteração nos preços do Defender para Contêineres em multinuvem
24 de junho de 2024
Como o Defender para contêineres em várias nuvens agora está em disponibilidade geral, ele não é mais gratuito. Para obter mais informações, consulte preços do Microsoft Defender para Nuvem.
Preterição: lembrete da preterição das recomendações adaptáveis
20 de junho de 2024
Data estimada da alteração: agosto de 2024
Como parte da descontinuação do MMA e da estratégia de implantação atualizada do Defender para servidores, os recursos de segurança do Defender para servidores serão fornecidos por meio do agente do Microsoft Defender para Ponto de Extremidade (MDE) ou por meio dos recursos de verificação sem agente. Nenhuma dessas duas opções irá depender do MMA nem do Agente de Monitoramento do Azure (AMA).
As recomendações de segurança adaptável, conhecidas como Controles de Aplicativos Adaptáveis e Proteção de Rede Adaptável, serão descontinuadas. A versão atual de GA baseada no MMA e a versão prévia baseada no AMA serão preteridas em agosto de 2024.
Versão prévia pública: Copilot no Defender para Nuvem
10 de junho de 2024
Estamos anunciando a integração do Microsoft Security Copilot ao Defender para Nuvem em versão prévia pública. A experiência integrada do Copilot no Defender para Nuvem oferece aos usuários a capacidade de fazer perguntas e obter respostas em linguagem natural. O Copilot pode ajudá-lo a compreender o contexto de uma recomendação, o efeito da implementação de uma recomendação, as etapas necessárias para implementar uma recomendação, auxiliar na delegação de recomendações e auxiliar na correção de configurações incorretas no código.
Saiba mais sobre Microsoft Security Copilot no Defender para Nuvem.
Atualização: Habilitação automática da avaliação de vulnerabilidade do SQL
10 de junho de 2024
Data estimada para alteração: 10 de julho de 2024
Originalmente, a AV (Avaliação de Vulnerabilidades do SQL) com a Configuração Expressa só era habilitada automaticamente em servidores em que o Microsoft Defender para SQL tinha sido ativado após a introdução da Configuração Expressa em dezembro de 2022.
Atualizaremos todos os servidores SQL do Azure que tinham o Microsoft Defender para SQL ativado antes de dezembro de 2022 e não tinham uma política de AV do SQL em vigor, para que a Avaliação de Vulnerabilidade do SQL (AV do SQL) seja habilitada automaticamente com a Configuração Expressa.
- A implementação dessa alteração será gradual, abrangendo várias semanas e não exige nenhuma ação por parte do usuário.
- Essa alteração se aplica aos servidores SQL do Azure em que o Microsoft Defender para SQL foi ativado no nível da assinatura do Azure.
- Servidores com uma configuração clássica existente (válida ou inválida) não serão afetados por essa alteração.
- Após a ativação, a recomendação “As descobertas de vulnerabilidade dos bancos de dados SQL devem ser resolvidas” pode aparecer e possivelmente afetar sua classificação de segurança.
Atualização: Alterações no comportamento das recomendações de identidade
3 de junho de 2024
Data estimada para alteração: julho de 2024
Estas alterações:
- O recurso avaliado se tornará a identidade em vez da assinatura
- As recomendações não terão mais “sub-recomendações”
- O valor do campo 'assessmentKey' na API será alterado para essas recomendações
Será aplicado às seguintes recomendações:
- Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA
- Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA
- Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA
- As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas
- As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas
- As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas
- As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas
- As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas
- Uma quantidade máxima de três proprietários deve ser designada para sua assinatura
- Deve haver mais de um proprietário atribuído à sua assinatura
Maio de 2024
GA: Detecção de malware sem agente no Plano 2 do Defender para servidores
30 de maio de 2024
A detecção de malware sem agente do Defender para Nuvem para VMs do Azure, instâncias do EC2 da AWS e instâncias de VM do GCP agora está em disponibilidade geral como um novo recurso no Plano 2 do Defender para servidores.
A detecção de malware sem agente utiliza o mecanismo antimalware do Microsoft Defender Antivirus para verificar e detectar arquivos mal-intencionados. As ameaças detectadas disparam alertas de segurança diretamente no Defender para Nuvem e no Defender XDR, onde podem ser investigadas e corrigidas. Saiba mais sobre a verificação de malware sem agente para servidores e verificação sem agente para VMs.
Atualização: Configurar notificações por email para caminhos de ataque
22 de maio de 2024
Agora você pode configurar notificações por email quando um caminho de ataque é detectado com um nível de risco igual ou superior ao especificado. Saiba como configurar notificações por email.
Atualização: A busca avançada de ameaças no Microsoft Defender XDR inclui alertas e incidentes do Defender para Nuvem
21 de maio de 2024
Os alertas e incidentes do Defender para Nuvem agora são integrados ao Microsoft Defender XDR e podem ser acessados no Portal do Microsoft Defender. Esta integração fornece um contexto mais rico para investigações que abrangem recursos de nuvem, dispositivos e identidades. Saiba mais sobre a busca avançada de ameaças na integração do XDR.
Versão Prévia: Integração do Checkov para verificação de IaC no Defender para Nuvem
9 de maio de 2024
A integração do Checkov para segurança do DevOps no Defender para Nuvem agora está em versão prévia. Essa integração melhora a qualidade e o número total de verificações de Infraestrutura como Código executadas pela CLI do MSDO ao verificar os modelos de IaC.
Durante a visualização, o Checkov deve ser chamado explicitamente pelo parâmetro de entrada “ferramentas” da CLI do MSDO.
Saiba mais sobre Segurança do DevOps no Defender para Nuvem e configurar a CLI do MSDO para Azure DevOps e GitHub.
GA: Gerenciamento de permissões no Defender para Nuvem
7 de maio de 2024
O gerenciamento de permissões agora está disponível no Defender para Nuvem.
Versão Prévia: Gerenciamento da postura de segurança multinuvem de IA
6 de maio de 2024
O gerenciamento da postura de segurança de IA está disponível em versão prévia no Defender para Nuvem. Fornece recursos de gerenciamento da postura de segurança de IA para o Azure e para a AWS, aprimorando a segurança dos seus pipelines e serviços de IA.
Saiba mais sobre o Gerenciamento da postura de segurança de IA.
Versão Prévia limitada: Proteção contra ameaças para cargas de trabalho de IA no Azure
6 de maio de 2024
A proteção contra ameaças para cargas de trabalho de IA no Defender para Nuvem está disponível em versão prévia limitada. Esse plano ajuda a monitorar os aplicativos da plataforma OpenAI do Azure no runtime para verificar atividades mal-intencionadas, identificar e corrigir riscos de segurança. Ele fornece insights contextuais sobre a proteção contra ameaças à carga de trabalho de IA, integrando-se à IA responsável e à Inteligência contra Ameaças da Microsoft. Os alertas de segurança relevantes são integrados ao portal do Defender.
Saiba mais sobre a proteção contra ameaças para cargas de trabalho de IA.
GA: Gerenciamento de políticas de segurança
2 de maio de 2024
O gerenciamento de políticas de segurança nas diversas nuvens (Azure, AWS, GCP) já está em disponibilidade geral. Permite que as equipes de segurança gerenciem suas políticas de segurança de forma consistente e com novos recursos
Saiba mais sobre políticas de segurança no Microsoft Defender para Nuvem.
Versão Prévia: Defender para bancos de dados de código aberto disponível na AWS
1 de maio de 2024
O Defender para bancos de dados de código aberto na AWS agora está disponível em versão prévia. Adiciona o suporte a vários tipos de instâncias do Serviço de Banco de Dados Relacionais (RDS) da Amazon.
Saiba mais sobre Defender para bancos de dados de código aberto e como habilitar o Defender para bancos de dados de código aberto na AWS.
Preterição: Remoção do FIM (com AMA)
1 de maio de 2024
Data estimada da alteração: agosto de 2024
Como parte da Preterição do MMA e a estratégia de implantação atualizada do Defender para servidores, todos os recursos de segurança do Defender para servidores serão fornecidos por meio de um único agente (MDE) ou por meio de recursos de verificação sem agente e sem dependências, seja no MMA ou no AMA.
A nova versão do Monitoramento de Integridade de Arquivos (FIM) por meio Microsoft Defender para Ponto de Extremidade (MDE) permite que você cumpra os requisitos de conformidade monitorando arquivos e registros críticos em tempo real, auditando alterações e detectando alterações suspeitas de conteúdo de arquivos.
Como parte desta versão, a experiência FIM sobre AMA não estará mais disponível por meio do portal do Defender para Nuvem a partir de agosto de 2024. Para obter mais informações, confira Experiência do Monitoramento de Integridade do Arquivo – Alterações e diretrizes de migração.
Para obter detalhes sobre a nova versão da API, consulte APIs REST do Microsoft Defender para Nuvem.
Abril de 2024
| Date | Category | Update |
|---|---|---|
| 16 de abril | Atualização futura |
Alteração nas IDs de avaliação do CIEM. Atualização estimada: maio de 2024. |
| 15 de abril | GA | O Defender para Contêineres agora está disponível para AWS e GCP. |
| 3 de abril | Update | A priorização de riscos agora é a experiência padrão no Defender para Nuvem |
| 3 de abril | Update | Atualizações do Defender para bancos de dados relacionais de código aberto. |
Atualização: Alteração nas IDs de avaliação do CIEM
16 de abril de 16 de 2024
Data estimada da alteração: maio de 2024
As seguintes recomendações são agendadas para remodelagem, o que resultará em alterações nas respectivas IDs de avaliação:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender para Contêineres para a AWS e o GCP
15 de abril de 2024
A detecção de ameaças no runtime e a descoberta sem agente para AWS e GCP no Defender para Contêineres agora estão em disponibilidade geral (GA). Além disso, há uma nova funcionalidade de autenticação na AWS que simplifica o provisionamento.
Saiba mais sobre a matriz de suporte a contêineres no Defender para Nuvem e como configurar componentes do Defender para Contêineres.
Atualização: Priorização de riscos
3 de abril de 2024
A priorização de riscos agora é a experiência padrão no Defender para Nuvem. Esse recurso ajuda você a se concentrar nos problemas de segurança mais críticos no seu ambiente ao priorizar recomendações com base nos fatores de risco de cada recurso. O nível de risco é calculado com base no possível impacto do problema de segurança que está sendo violado, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte. Saiba mais sobre a priorização de risco.
Atualização: Defender para Bancos de Dados Relacionais de Código Aberto
3 de abril de 2024
- Atualizações pós-GA dos Servidores Flexíveis do Defender para PostgreSQL - A atualização permite que os clientes imponham proteção para servidores flexíveis do PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou a proteção automática de todos os recursos no nível de assinatura.
- Disponibilidade e GA do Defender para servidores Flexíveis do MySQL: o Defender para Nuvem expandiu seu suporte para incluir os bancos de dados relacionais de código aberto do Azure ao incorporar os Servidores Flexíveis do MySQL.
Esta versão inclui:
- Compatibilidade de alertas com alertas existentes para os Servidores Únicos do Defender para MySQL.
- Habilitação de recursos individuais.
- Habilitação no nível da assinatura.
- As atualizações dos servidores flexíveis do Banco de Dados do Azure para MySQL serão lançadas nas próximas semanas. Se estiver vendo a mensagem de erro
The server <servername> is not compatible with Advanced Threat Protection, você poderá esperar pela atualização ou abrir um tíquete de suporte para atualizar o servidor mais cedo para uma versão com suporte.
Se você já está protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos de servidor flexível serão automaticamente habilitados, protegidos e cobrados. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.
Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.
Março de 2024
GA: Verificação de imagens de contêiner no Windows
31 de março de 2024
Estamos anunciando a disponibilidade geral (GA) do suporte à verificação das imagens de contêiner do Windows pelo Defender para Contêineres.
Atualização: A exportação contínua agora inclui dados de caminhos de ataque
25 de março de 2024
Estamos anunciando que a exportação contínua agora inclui dados de caminhos de ataque. Esse recurso permite que você transmita dados de segurança para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para um outro Gerenciamento de Eventos e Informações de Segurança (SIEM), Orquestração, Automação e Resposta de Segurança (SOAR) ou uma solução clássica de modelo de implantação de TI.
Saiba mais sobre a exportação contínua.
(Versão Prévia): A Verificação sem agente dá suporte a VMs criptografadas por CMK no Azure
21 de março de 2024
Até agora, a verificação sem agente cobria VMs criptografadas do CMK no AWS e no GCP. Com essa versão, também estamos completando o suporte para o Azure. A funcionalidade emprega uma abordagem de verificação exclusiva para CMK no Azure:
- O Defender para Nuvem não lida com o processo de descriptografia ou chave. As chaves e a descriptografia são tratadas diretamente pela Computação do Azure e são transparentes para o serviço de verificação sem agente do Defender para Nuvem.
- Os dados de disco de VM não criptografados nunca são copiados ou criptografados novamente com outra chave.
- A chave original não é replicada durante o processo. A limpeza elimina os dados da VM de produção e do instantâneo temporário do Defender para Nuvem.
Durante a pré-visualização pública, essa funcionalidade não é habilitada automaticamente. Se você estiver usando o Defender para Servidores P2 ou o Defender CSPM e seu ambiente tiver VMs com discos criptografados cmk, agora você poderá examiná-los em busca de vulnerabilidades, segredos e malware seguindo estas etapas de habilitação.
Versão Prévia: Recomendações personalizadas baseadas no KQL para Azure
17 de março de 2024
As recomendações personalizadas baseadas no KQL para Azure agora estão em visualização pública e são compatíveis com todas as nuvens. Para obter mais informações, veja Criar recomendações e padrões de segurança personalizados.
Atualização: Inclusão de recomendações do DevOps no parâmetro de comparação de segurança de nuvem da Microsoft
13 de março de 2024
Hoje, estamos anunciando que agora você pode monitorar sua postura de segurança e conformidade de DevOps no MCSB (Microsoft Cloud Security Benchmark), além do Azure, AWS e GCP. As avaliações de DevOps fazem parte do controle de Segurança de DevOps no MCSB.
O MCSB é uma estrutura que define princípios fundamentais de segurança da nuvem com base em padrões comuns da indústria e em estruturas de conformidade. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independente de nuvem.
Saiba mais sobre as recomendações de DevOps que serão incluídas e o parâmetro de comparação de segurança na nuvem da Microsoft.
GA: Agora a Integração no ServiceNow está em disponibilidade geral
12 de março de 2024
Estamos anunciando a GA (disponibilidade geral) da integração do ServiceNow.
Versão Prévia: Proteção de ativos críticos no Microsoft Defender para Nuvem
12 de março de 2024
O Defender para Nuvem agora inclui um recurso comercialmente crítico que usa o mecanismo de ativos críticos do Gerenciamento de Exposição da Segurança da Microsoft para identificar e proteger ativos importantes por meio de priorização de risco, análise de caminhos de ataque e do Cloud Security Explorer. Para obter mais informações, confira Proteção de ativos críticos no Microsoft Defender para Nuvem (Versão Prévia).
Atualização: Recomendações aprimoradas para AWS e GCP com scripts de correção automatizados
12 de março de 2024
Estamos aprimorando as recomendações do AWS e GCP com scripts de correção automatizados que permitem que você os corrija programaticamente e em escala. Saiba mais sobre scripts de correção automatizados.
Versão Prévia: Padrões de conformidade adicionados ao painel de controle de conformidade
6 de março de 2024
Com base nos comentários de clientes, adicionamos ao Defender para Nuvem padrões de conformidade em versão prévia.
Confira a lista completa de padrões de conformidade com suporte
Estamos trabalhando continuamente para adicionar e atualizar novos padrões para ambientes Azure, AWS e GCP.
Saiba como atribuir um padrão de segurança.
Atualização: Atualizações do Defender para bancos de dados relacionais de código aberto
6 de março de 2024**
Data estimada da alteração: abril de 2024
Atualizações pós-GA dos Servidores Flexíveis do Defender para PostgreSQL - A atualização permite que os clientes imponham proteção para servidores flexíveis do PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou a proteção automática de todos os recursos no nível de assinatura.
Disponibilidade e GA dos Servidores Flexíveis do Defender para MySQL - O Defender para Nuvem está pronto para expandir seu suporte para bancos de dados relacionais de código aberto do Azure, incorporando os Servidores Flexíveis do MySQL. Esta versão incluirá:
- Compatibilidade de alertas com alertas existentes para os Servidores Únicos do Defender para MySQL.
- Habilitação de recursos individuais.
- Habilitação no nível da assinatura.
Se você já está protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos de servidor flexível serão automaticamente habilitados, protegidos e cobrados. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.
Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.
Atualização: Alterações nas Ofertas de Conformidade e nas configurações de Ações da Microsoft
3 de março de 2024
Data estimada da alteração: 30 de setembro de 2025
Em 30 de setembro de 2025, os locais em que você acessa duas versões prévias do recurso, oferta de Conformidade e Ações da Microsoft, serão alterados.
A tabela que lista o status de conformidade dos produtos da Microsoft (acessado do botão Ofertas de Conformidade na barra de ferramentas do painel de conformidade regulatória do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.
Para um subconjunto de controles, as Ações da Microsoft estavam acessíveis a partir do botão Ações da Microsoft (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança do Serviço da Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema do Azure.
Atualização: Alterações no local onde você acessa as Ofertas de Conformidade e Ações da Microsoft
3 de março de 2024**
Data estimada para a alteração: setembro de 2025
Em 30 de setembro de 2025, os locais em que você acessa duas versões prévias do recurso, oferta de Conformidade e Ações da Microsoft, serão alterados.
A tabela que lista o status de conformidade dos produtos da Microsoft (acessado do botão Ofertas de Conformidade na barra de ferramentas do painel de conformidade regulatória do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.
Para um subconjunto de controles, as Ações da Microsoft estavam acessíveis a partir do botão Ações da Microsoft (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança do Serviço da Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema do Azure.
Preterição: Desativação da Avaliação de Vulnerabilidades de Contêineres do Defender para Nuvem da plataforma Qualys
3 de março de 2024
A Avaliação de Vulnerabilidades do Defender para Contêineres de Nuvem da plataforma Qualys está sendo desativada. A desativação será concluída até 06 de março e, até lá, os resultados parciais ainda poderão aparecer nas recomendações do Qualys e os resultados do Qualys no gráfico de segurança. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para Avaliações de vulnerabilidade para o Azure com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter informações sobre como fazer a transição para a oferta de avaliação de vulnerabilidade do contêiner, fornecida pelo Gerenciamento de Vulnerabilidades do Microsoft Defender, confira Transição do Qualys para o Gerenciamento de Vulnerabilidades do Microsoft Defender.
Fevereiro de 2024
| Date | Category | Update |
|---|---|---|
| 28 de fevereiro | Deprecation | A Análise de Código de Segurança da Microsoft (MSCA) não está mais operacional. |
| 28 de fevereiro | Update | Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP. |
| 26 de fevereiro | Update | Suporte na nuvem para o Defender para contêineres |
| 20 de fevereiro | Update | Nova versão do sensor do Defender para Defender para contêineres |
| 18 de fevereiro | Update | Suporte à especificação de formato de imagem da Open Container Initiative (OCI) |
| 13 de fevereiro | Deprecation | A avaliação de vulnerabilidade de contêineres da AWS alimentada da plataforma Trivy foi desativada. |
| 5 de fevereiro | Atualização futura |
Desativação do provedor de recursos Microsoft.SecurityDevOps Esperada para: 6 de março de 2024 |
Preterição: A Análise de Código de Segurança da Microsoft (MSCA) não está mais operacional
28 de fevereiro de 2024
Em fevereiro de 2021, a substituição da tarefa MSCA foi comunicada a todos os clientes e já passou do fim da vida útil desde março de 2022. A partir de 26 de fevereiro de 2024, a MSCA oficialmente não está mais operacional.
Os clientes podem obter as ferramentas de segurança do DevOps mais recentes a partir do Defender para Nuvem por meio do Microsoft Security DevOps e mais ferramentas de segurança por meio do GitHub Advanced Security para Azure DevOps.
Atualização: Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP
28 de fevereiro de 2024
A experiência atualizada para gerenciar políticas de segurança, inicialmente lançada na versão prévia do Azure, está expandindo seu suporte para ambientes entre nuvens (AWS e GCP). Esta versão prévia inclui:
- Gerenciamento de padrões de conformidade regulatória no Defender para Nuvem em ambientes do Azure, AWS e GCP.
- Uma mesma experiência de interface entre nuvens para criar e gerenciar recomendações personalizadas do MCSB (Microsoft Cloud Security Benchmark).
- A experiência atualizada é aplicada à AWS e ao GCP para criar recomendações personalizadas com uma consulta KQL.
Atualização: Suporte na nuvem ao Defender para Contêineres
26 de fevereiro de 2024
Os recursos de detecção de ameaças do Serviço de Kubernetes do Azure (AKS) no Defender para contêineres agora têm suporte total em nuvens comerciais, do Azure Government e do Azure China 21Vianet. Examine os recursos com suporte.
Atualização: Nova versão do sensor do Defender no Defender para Contêineres
20 de fevereiro de 2024
Uma nova versão do sensor do Defender para o Defender para contêineres está disponível. Ele inclui melhorias de desempenho e segurança, suporte para nós de arco AMD64 e Arm64 (somente Linux) e usa Inspektor Gadget como o agente de coleta de processos em vez de Sysdig. A nova versão é apenas compatível com as versões 5.4 e posteriores do Linux, portanto, se você tiver versões mais antigas do kernel do Linux, precisará fazer a atualização. O suporte para Arm64 só está disponível no AKS V1.29 e superior. Para obter mais informações, confira Sistemas operacionais do host com suporte.
Atualização: Suporte à especificação do formato de imagem da Open Container Initiative (OCI)
18 de fevereiro de 2024
A especificação de formato de imagem da Open Container Initiative (OCI) agora é compatível com a avaliação de vulnerabilidade, alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender para nuvens do AWS, Azure & e GCP.
Preterição: A avaliação de vulnerabilidade de contêineres da AWS da plataforma Trivy foi desativada
13 de fevereiro de 2024
A avaliação de vulnerabilidade de contêiner da plataforma Trivy foi desativada. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para a nova avaliação de vulnerabilidade de contêiner do AWS da plataforma do Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter instruções sobre como atualizar, confira Como fazer upgrade da avaliação de vulnerabilidade do Trivy desativada para a avaliação de vulnerabilidade do AWS da plataforma do Gerenciamento de Vulnerabilidades do Microsoft Defender?
Atualização: Descomissionamento do provedor de recursos Microsoft.SecurityDevOps
5 de fevereiro de 2024
Data estimada da alteração: 6 de março de 2024
O Microsoft Defender para Nuvem está desativando o provedor de recursos Microsoft.SecurityDevOps que foi usado durante a visualização pública da segurança do DevOps, tendo migrado para o provedor existente Microsoft.Security. O motivo da alteração é melhorar as experiências do cliente, reduzindo o número de provedores de recursos associados aos conectores de DevOps.
Os clientes que ainda estão usando a versão 2022-09-01-previewMicrosoft.SecurityDevOps da API para consultar os dados de segurança do Defender para Cloud DevOps serão afetados. Para evitar interrupções no serviço, o cliente precisará atualizar para a nova versão da API 2023-09-01-preview no Microsoft.Security provedor.
Atualmente, os clientes que usam a segurança de DevOps do Defender para Nuvem no portal do Azure não serão afetados.
Janeiro de 2024
Atualização:Novo insight para repositórios ativos no Cloud Security Explorer
31 de janeiro de 2024
Um novo insight dos repositórios do Azure DevOps foi adicionado ao Cloud Security Explorer para indicar se os repositórios estão ativos. Esse insight indica que o repositório de código não está arquivado ou desabilitado, o que significa que o acesso de gravação ao código, builds e solicitações de pull ainda está disponível para os usuários. Os repositórios arquivados e desabilitados podem ser considerados de menor prioridade, já que o código não costuma ser usado em implantações ativas.
Para testar a consulta por meio do Cloud Security Explorer, use esse link de consulta.
Atualização: Alteração nos preços da detecção de ameaças de contêiner multinuvem
30 de janeiro de 2024**
Data estimada da alteração: abril de 2024
Quando a detecção de ameaças de contêiner multinuvem passar para GA, ela deixará de ser gratuita. Para obter mais informações, consulte preços do Microsoft Defender para Nuvem.
Atualização: Implementação do GPSN do Defender para o Nível Premium de Segurança do DevOps
29 de janeiro de 2024**
Data estimada para a alteração: 7 de março de 2024
O Defender para Nuvem começará a aplicar a verificação do plano Defender CSPM para obter um valor de segurança de DevOps Premium a partir de 7 de março de 2024. Se você tiver o plano de GPSN do Defender habilitado em um ambiente de nuvem (Azure, AWS, GCP) dentro do mesmo locatário em que os conectores de DevOps são criados, você continuará recebendo recursos Premium de DevOps sem custo adicional. Se você não for um cliente do Defender CSPM, terá até 7 de março de 2024 para habilitar o Defender CSPM antes de perder o acesso a esses recursos de segurança. Para habilitar o Defender CSPM em um ambiente de nuvem conectado antes de 7 de março de 2024, siga a documentação de habilitação descrita aqui.
Para obter mais informações sobre quais recursos de segurança do DevOps estão disponíveis nos planos Foundational CSPM e Defender CSPM, consulte nossa documentação que descreve a disponibilidade dos recursos.
Para obter mais informações sobre o DevOps Security no Defender para Nuvem, consulte a documentação de visão geral.
Para obter mais informações sobre os recursos de segurança de código para nuvem no Defender CSPM, consulte como proteger seus recursos com o Defender CSPM.
Versão Prévia: Postura do contêiner sem agente para GCP no Defender para Contêineres e no GPSN do Defender
24 de janeiro de 2024
Os novos recursos de postura de contêiner sem agente (versão prévia) estão disponíveis para GCP, incluindo Avaliações de vulnerabilidade para GCP com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter mais informações sobre todos os recursos, consulte Postura de contêiner sem agente no Defender CSPM e Recursos sem agente no Defender para contêineres.
Você também pode ler sobre o gerenciamento de postura de contêiner sem agente para várias nuvens nesta postagem no blog.
Versão Prévia: Verificação de malware sem agente para servidores
16 de janeiro de 2024
Estamos anunciando o lançamento da detecção de malware sem agente do Defender para Nuvem para VMs (máquinas virtuais) do Azure, instâncias do AWS EC2 e instâncias de VM do GCP, como um novo recurso incluído no Plano 2 do Defender para Servidores.
A detecção de malware sem agente para VMs agora está incluída em nossa plataforma de verificação sem agente. A verificação de malware sem agente utiliza o mecanismo antimalware do Microsoft Defender Antivírus para verificar e detectar arquivos mal-intencionados. Qualquer ameaça detectada dispara alertas de segurança diretamente no Defender para Nuvem e no Defender XDR, onde podem ser investigadas e corrigidas. O verificador de malware sem agente complementa a cobertura baseada em agente com uma segunda camada de detecção de ameaças com integração sem atrito e não tem efeito no desempenho do computador.
Saiba mais sobre a verificação de malware sem agente para servidores e verificação sem agente para VMs.
Disponibilidade geral da integração do Defender para Nuvem ao Microsoft Defender XDR
15 de janeiro de 2024
Estamos anunciando a GA (disponibilidade geral) da integração entre o Defender para Nuvem e o Microsoft Defender XDR (antigo Microsoft 365 Defender).
A integração traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com a integração do Microsoft Defender para Nuvem e do Defender XDR, as equipes do SOC podem descobrir ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Office 365 e muito mais.
Saiba mais sobre alertas e incidentes no Microsoft Defender XDR.
Atualização: Função integrada de verificação de VM sem agente no Azure
14 de janeiro de 2024**
Data estimada da alteração: fevereiro de 2024
No Azure, a verificação sem agente para VMs usa uma função integrada (chamada de operador de verificação de VM) com as permissões mínimas necessárias para verificar e avaliar suas VMs quanto a problemas de segurança. Para fornecer continuamente recomendações relevantes de integridade e configuração de verificações para VMs com volumes criptografados, está planejada uma atualização das permissões dessa função. A atualização inclui o acréscimo da permissão Microsoft.Compute/DiskEncryptionSets/read. Essa permissão apenas permite uma identificação aprimorada do uso de discos criptografados em VMs. Ele não fornece mais recursos do Defender para Nuvem para descriptografar ou acessar o conteúdo desses volumes criptografados além dos métodos de criptografia já compatíveis antes dessa alteração. Essa alteração deve ocorrer durante o mês de fevereiro de 2024 e nenhuma ação de sua parte é necessária.
Atualização: Anotações de Pull Request de segurança do DevOps habilitadas por padrão para os conectores do Azure DevOps
12 de janeiro de 2024
A segurança do DevOps expõe as descobertas de segurança como anotações nos Pull Requests (PR) para ajudar os desenvolvedores a prevenir e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes de entrar na fase de produção. A partir de 12 de janeiro de 2024, as anotações de PR agora estão habilitadas por padrão para todos os repositórios novos e existentes do Azure DevOps conectados ao Defender para Nuvem.
Por padrão, as anotações de PR são habilitadas apenas para descobertas de IaC (Infraestrutura como Código) de Alta Severidade. Os clientes ainda precisarão configurar o Microsoft Security para DevOps (MSDO) para serem executados em builds de PR e habilitar a política de Validação de Build para builds de CI nas configurações do repositório do Azure DevOps. Os clientes podem desabilitar o recurso Anotação de PR para repositórios específicos nas opções de configuração do repositório do painel de segurança do DevOps.
Saiba mais sobre habilitar anotações de pull request para o Azure DevOps.
Preterição: Caminho de desativação da avaliação de vulnerabilidade integrada do Defender para Servidores (Qualys)
9 de janeiro de 2024**
Data estimada da alteração: maio de 2024
A solução interna de avaliação de vulnerabilidades do Defender para servidores da plataforma Qualys está em vias de desativação, cuja conclusão está prevista para 1º de maio de 2024. Se estiver usando a solução de avaliação de vulnerabilidades da plataforma da Qualys no momento, você deve planejar sua transição para a solução integrada de gerenciamento de vulnerabilidades do Microsoft Defender.
Para obter mais informações sobre nossa decisão de unificar nossa oferta de avaliação de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender, você pode ler essa postagem do blog.
Você também pode conferir as perguntas mais comuns sobre a transição para a solução de Gerenciamento de Vulnerabilidades do Microsoft Defender.
Atualização: requisitos de rede multinuvem do Defender para Nuvem
3 de janeiro de 2024**
Data estimada da alteração: maio de 2024
A partir de maio de 2024, estaremos desativando os endereços IP antigos associados aos nossos serviços de descoberta multinuvem para acomodar melhorias e garantir uma experiência mais segura e eficiente para todos os usuários.
Para garantir o acesso ininterrupto aos nossos serviços, você deve atualizar sua lista de permissões de IP com os novos intervalos fornecidos nas seções a seguir. Você deve fazer os ajustes necessários nas suas configurações de firewall, grupos de segurança ou outras configurações que possam se aplicar ao seu ambiente.
A lista se aplica a todos os planos e é suficiente para a total funcionalidade da oferta original (gratuita) do GPSN.
Endereços IP a serem desativados:
- Descoberta da GCP: 104.208.29.200, 52.232.56.127
- Descoberta da AWS: 52.165.47.219, 20.107.8.204
- Integração: 13.67.139.3
Novos intervalos de IP específicos por região a serem adicionados:
- Oeste da Europa: 52.178.17.48/28
- Norte da Europa: 13.69.233.80/28
- EUA Central: 20.44.10.240/28
- Leste dos EUA 2: 20.44.19.128/28
Dezembro de 2023
Consolidação de nomes de nível 2 de serviço do Defender para Nuvem
30 de dezembro de 2023
Estamos consolidando os nomes herdados do Nível 2 de serviço para todos os planos do Defender para Nuvem em um único novo nome de Nível 2 de Serviço, Microsoft Defender para Nuvem.
Hoje, há quatro nomes de nível de serviço 2: Azure Defender, Proteção Avançada contra Ameaças, Segurança de Dados Avançada e Central de Segurança. Os vários medidores do Microsoft Defender para Nuvem são agrupados entre esses nomes separados de Nível 2 de serviço, criando complexidades ao usar o Gerenciamento de Custos + Cobrança, faturamento e outras ferramentas relacionadas à cobrança do Azure.
A alteração simplifica o processo de revisão do Defender para cobranças na nuvem e proporciona maior clareza na análise de custos.
Para garantir uma transição tranquila, tomamos medidas para manter a consistência das IDs de Produto/Serviço, SKU e Medidor. Os clientes afetados receberão uma Notificação de Serviço do Azure informativa para comunicar as alterações.
As organizações que recuperam dados de custo chamando nossas APIs precisarão atualizar os valores nas respectivas chamadas para acomodar a alteração. Por exemplo, nesta função de filtro, os valores não retornarão nenhuma informação:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| Nome do Antigo Nível de Serviço 2 | Novo nome do Nível de Serviço 2 | Camada de Serviço – Nível de Serviço 4 (Sem alteração) |
|---|---|---|
| Segurança de Dados Avançada | Microsoft Defender para Nuvem | Defender para SQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Azure Defender para Registros de Contêiner |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para DNS |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Key Vault |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Kubernetes |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para MySQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para PostgreSQL |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Resource Manager |
| Proteção Avançada contra Ameaças | Microsoft Defender para Nuvem | Defender para Armazenamento |
| Azure Defender | Microsoft Defender para Nuvem | Defender para gerenciamento de superfície de ataque externo |
| Azure Defender | Microsoft Defender para Nuvem | Defender para Azure Cosmos DB |
| Azure Defender | Microsoft Defender para Nuvem | Defender para contêineres |
| Azure Defender | Microsoft Defender para Nuvem | Defender para MariaDB |
| Central de Segurança | Microsoft Defender para Nuvem | Defender para Serviço de Aplicativo |
| Central de Segurança | Microsoft Defender para Nuvem | Defender para servidores |
| Central de Segurança | Microsoft Defender para Nuvem | CSPM do Defender |
Microsoft Defender para servidores no nível de recurso disponível como GA
24 de dezembro de 2023
Agora é possível gerenciar o Defender para servidores em recursos específicos em sua assinatura, oferecendo controle total sobre sua estratégia de proteção. Com essa funcionalidade, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações estabelecidas no nível da assinatura.
Saiba mais sobre habilitar o Microsoft Defender para servidores no nível do recurso.
Desativação dos conectores clássicos para multinuvem
21 de dezembro de 2023
A experiência do conector clássico multinuvem foi desativada e os dados não são mais transmitidos para conectores criados por meio desse mecanismo. Esses conectores clássicos eram usados para conectar as recomendações do AWS Security Hub e do GCP Security Command Center ao Defender para Nuvem e integrar os EC2s da AWS ao Defender para servidores.
O valor completo desses conectores foi substituído pela experiência nativa de conectores de segurança multinuvem, em disponibilidade geral para a AWS e o GCP desde março de 2022 sem custo extra.
Os novos conectores nativos estão incluídos no seu plano e oferecem uma experiência de integração automatizada com opções para integrar contas individuais, contas múltiplas (com o Terraform) e de integração organizacional com o provisionamento automático para os seguintes planos do Defender: funcionalidades básicas gratuitas de GPSN, GPSN (gerenciamento da postura de segurança na nuvem) do Defender, Defender para servidores, Defender para SQL e Defender para contêineres.
Lançamento da pasta de trabalho Cobertura
21 de dezembro de 2023
A pasta de trabalho Cobertura permite que você acompanhe quais planos do Defender para Nuvem estão ativos em quais partes dos seus ambientes. Esta pasta de trabalho pode ajudar você a garantir que seus ambientes e assinaturas estejam totalmente protegidos. Ao ter acesso a informações detalhadas de cobertura, você também pode identificar qualquer área que possa precisar de outra proteção e agir para lidar com essas áreas.
Saiba mais sobre a pasta de trabalho cobertura.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender no Azure Governamental e no Azure operado pela 21Vianet
14 de dezembro de 2023
A avaliação de vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender foi lançada para Disponibilidade Geral (GA) no Azure Governamental e no Azure operado pela 21Vianet. Esta nova versão está disponível nos planos Defender para contêineres e Defender para Registros de Contêineres.
- Como parte dessa mudança, novas recomendações foram lançadas para GA e incluídas no cálculo da pontuação segura. Revise recomendações de segurança novas e atualizadas
- A verificação de imagem de contêiner alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender agora também incorre em encargos de acordo com os preços do plano. As imagens examinadas por nossa oferta de VA de contêiner da plataforma Qualys e pela oferta de VA de contêiner da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender serão cobradas apenas uma vez.
As recomendações do Qualys para Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuam disponíveis para clientes que habilitaram o Defender para Contêineres em qualquer uma de suas assinaturas antes desta versão. Os novos clientes que integrarem o Defender para Contêineres após este lançamento verão apenas as novas recomendações de Avaliação de Vulnerabilidade de Contêiner da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender.
Visualização pública do suporte do Windows para a Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender
14 de dezembro de 2023
O suporte para imagens do Windows foi lançado em visualização pública como parte da VA (Avaliação de Vulnerabilidades) da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender para registros de contêiner do Azure e do Serviço de Kubernetes do Azure.
A desativação da avaliação de vulnerabilidade do contêiner da AWS da plataforma Trivy
13 de dezembro de 2023
A avaliação de vulnerabilidade de contêiner da plataforma Trivy está agora em um caminho de desativação a ser concluído até 13 de fevereiro. Essa funcionalidade agora está preterida e continuará disponível para clientes existentes usando essa funcionalidade até 13 de fevereiro. Incentivamos os clientes que usam esse recurso a atualizar para a nova avaliação de vulnerabilidade de contêiner da AWS, da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender até 13 de fevereiro.
Postura do contêiner sem agente para a AWS no Defender para contêineres e no Defender CSPM (versão prévia)
13 de dezembro de 2023
Os novos recursos da Postura de contêiner sem agente (versão prévia) estão disponíveis para a AWS. Para obter mais informações, consulte Postura de contêiner sem agente no do Defender CSPM e Recursos sem agente no Defender para contêineres.
Suporte à GA (disponibilidade geral) para o Servidor Flexível do PostgreSQL no Defender para o plano de bancos de dados relacionais de código aberto
13 de dezembro de 2023
Estamos anunciando o suporte à versão de GA (disponibilidade geral) do Servidor Flexível do PostgreSQL no plano Microsoft Defender para bancos de dados relacionais de código aberto. O Microsoft Defender para bancos de dados relacionais de software livre fornece proteção avançada contra ameaças aos Servidores Flexíveis do PostgreSQL, detectando atividades anômalas e gerando alertas de segurança.
Saiba como Habilitar o Microsoft Defender para bancos de dados relacionais de código aberto.
A avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte ao Google Distroless
12 de dezembro de 2023
As avaliações de vulnerabilidade de contêiner com tecnologia Microsoft Defender Vulnerability Management foram estendidas com mais cobertura para pacotes de sistema operacional Linux, agora com suporte para Google Distroless.
Para acessar a lista de todos os sistemas operacionais com suporte, consulte Suporte a imagens e registros do Azure: Avaliação de Vulnerabilidades da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender.
Novembro de 2023
Quatro alertas foram preteridos
30 de novembro de 2023
Como parte do nosso processo de melhoria de qualidade, os seguintes alertas de segurança são preteridos:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilidade geral de verificação de segredos sem agente no Defender para servidores e no Defender CSPM
27 de novembro de 2023
A verificação de segredos sem agente aprimora a VM (Máquinas Virtuais) baseadas em nuvem de segurança identificando segredos de texto não criptografado em discos de VM. A verificação de segredos sem agente fornece informações abrangentes para ajudar a priorizar as descobertas detectadas e reduzir os riscos de movimentação lateral antes que elas ocorram. Essa abordagem proativa impede o acesso não autorizado, garantindo que seu ambiente de nuvem permaneça seguro.
Estamos anunciando a GA (Disponibilidade Geral) da verificação de segredos sem agente, que está incluída nos planos Defender para servidores P2 e Defender CSPM.
A verificação de segredos sem agente utiliza APIs de nuvem para capturar instantâneos de seus discos, realizando análises fora de banda que garantem que não haja nenhum efeito no desempenho da VM. A verificação de segredos sem agente amplia a cobertura oferecida pelo Defender para Nuvem em relação aos ativos de nuvem em ambientes do Azure, AWS e GCP para aprimorar sua segurança na nuvem.
Com esta versão, os recursos de detecção do Defender para Nuvem agora dão suporte a outros tipos de banco de dados, URLs assinados do armazenamento de dados, tokens de acesso e muito mais.
Saiba como Gerenciar segredos com verificação de segredos sem agente.
Habilitar o gerenciamento de permissões com o Defender para Nuvem (Versão Prévia)
22 de novembro de 2023
A Microsoft agora oferece tanto soluções de Plataformas de Proteção de Aplicativos Nativas da Nuvem (CNAPP) quanto Gerenciamento de Direitos de Infraestrutura na Nuvem (CIEM) com o Microsoft Defender para Nuvem (CNAPP) e o Gerenciamento de permissões do Microsoft Entra (CIEM).
Os administradores de segurança podem ter uma visualização centralizada de suas permissões de acesso não utilizadas ou excessivas dentro do Defender para Nuvem.
As equipes de segurança podem promover os controles de acesso com privilégio mínimo para recursos de nuvem e receber recomendações acionáveis para resolver riscos de permissões nos ambientes de nuvem do Azure, da AWS e do GCP como parte de seu Gerenciamento de Postura de Segurança na Nuvem do Defender (CSPM), sem nenhum requisito extra de licenciamento.
Saiba como Habilitar o gerenciamento de permissões no Microsoft Defender para Nuvem (Versão Prévia).
Integração do Defender para Nuvem com o ServiceNow
22 de novembro de 2023
O ServiceNow agora está integrado ao Microsoft Defender para Nuvem, o que permite que os clientes conectem o ServiceNow ao seu ambiente do Defender para Nuvem para priorizar a correção das recomendações que afetem sua empresa. O Microsoft Defender para Nuvem se integra ao módulo ITSM (gerenciamento de incidentes). Como parte dessa conexão, os clientes serão capazes de criar/visualizar tíquetes do ServiceNow (vinculados às recomendações) a partir do Microsoft Defender para Nuvem.
Para saber mais, clique Integração do Defender para Nuvem com o ServiceNow.
Disponibilidade Geral do processo de provisionamento automático para SQL Servers no plano de computadores
20 de novembro de 2023
Em preparação para a substituição do Microsoft Monitoring Agent (MMA) em agosto de 2024, o Defender para Nuvem lançou um processo de provisionamento automático do Azure Monitoring Agent (AMA) direcionado ao SQL Server. O novo processo é habilitado e configurado automaticamente para todos os novos clientes e também fornece a capacidade de habilitação em nível de recurso para VMs SQL do Azure e SQL Servers habilitados para Arc.
Os clientes que usam o processo de provisionamento automático do MMA são solicitados a migrar para o novo processo de provisionamento automático do Azure Monitoring Agent para SQL Server em computadores. O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.
Disponibilidade geral do Defender para APIs
15 de novembro de 2023
Estamos anunciando a GA (Disponibilidade Geral) do Microsoft Defender para APIs. O Defender para APIs foi projetado para proteger as organizações contra ameaças à segurança de API.
O Defender para APIs permite que as organizações protejam suas APIs e dados de atores mal-intencionados. As organizações podem investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar e responder rapidamente ameaças ativas em tempo real. As organizações também podem integrar alertas de segurança diretamente em sua plataforma SIEM (Gerenciamento de Eventos e Informações de Segurança), por exemplo, o Microsoft Sentinel, para investigar e fazer a triagem de problemas.
Você pode aprender como Proteger suas APIs com o Defender para APIs. Você também pode saber mais Sobre o Microsoft Defender para APIs.
Você também pode ler este blog para saber mais sobre o anúncio de GA.
O Defender para Nuvem agora está integrado ao Microsoft 365 Defender (versão prévia)
15 de novembro de 2023
As empresas podem proteger seus recursos e dispositivos de nuvem com a nova integração entre o Microsoft Defender para Nuvem e o Microsoft Defender XDR. Essa integração conecta os pontos entre recursos, dispositivos e identidades de nuvem, que antes exigiam várias experiências.
A integração também traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com o Microsoft Defender XDR, as equipes do SOC podem descobrir facilmente ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Office 365 e muito mais.
Alguns dos principais benefícios incluem:
Uma interface fácil de usar para equipes SOC: com os alertas e correlações de nuvem do Defender para Nuvem integrados ao M365D, as equipes SOC agora podem acessar todas as informações de segurança de uma única interface, melhorando significativamente a eficiência operacional.
Uma história de ataque: os clientes são capazes de entender a história completa do ataque, incluindo seu ambiente de nuvem, usando correlações pré-criadas que combinam alertas de segurança de várias fontes.
Novas entidades de nuvem no Microsoft Defender XDR: o Microsoft Defender XDR agora oferece suporte a novas entidades de nuvem exclusivas do Microsoft Defender para Nuvem, como recursos de nuvem. Os clientes podem corresponder entidades de máquina virtual (VM) a entidades de dispositivo, fornecendo uma exibição unificada de todas as informações relevantes sobre uma máquina, incluindo alertas e incidentes que foram disparados nela.
API Unificada para produtos de segurança da Microsoft: os clientes agora podem exportar seus dados de alertas de segurança para seus sistemas de escolha usando uma única API, pois os alertas e incidentes do Microsoft Defender para Nuvem agora fazem parte da API pública do Microsoft Defender XDR.
A integração entre o Defender para Nuvem e o Microsoft Defender XDR está disponível para todos os clientes novos e existentes do Defender para Nuvem.
Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma MDVM (Gerenciamento de Vulnerabilidades do Microsoft Defender) no Defender para contêineres e no Defender para registros de contêiner
15 de novembro de 2023
A avaliação de vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia MDVM (Gerenciamento de Vulnerabilidades do Microsoft Defender) é liberada para Disponibilidade Geral (GA) no Defender for Containers e no Defender for Container Registries.
Como parte dessa mudança, as seguintes recomendações foram lançadas para GA e renomeadas, e agora estão incluídas no cálculo da pontuação segura:
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As descobertas de vulnerabilidade das imagens do registro de contêiner devem ser resolvidas (por meio da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) | As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de CVEs (vulnerabilidades conhecidas) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| As imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) | As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
A verificação de imagem de contêiner alimentada pela MDVM agora também incorre em encargos de acordo com os preços do plano.
Note
As imagens examinadas por nossa oferta de VA de contêiner da plataforma Qualys e pela oferta de VA de contêiner da plataforma MDVM serão cobradas apenas uma vez.
As recomendações abaixo da Qualys para Avaliação de vulnerabilidade de contêineres foram renomeadas e continuarão disponíveis para clientes que habilitaram o Defender para contêineres em qualquer uma de suas assinaturas antes de 15 de novembro. Os novos clientes que integrarem o Defender para contêineres após 15 de novembro verão apenas as novas recomendações de avaliação de vulnerabilidade de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | As imagens de contêiner em execução do Azure devem ter vulnerabilidades resolvidas ( da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Alterar para nomes de recomendação de avaliações de vulnerabilidade de contêiner
As seguintes recomendações de Avaliações de vulnerabilidade de contêiner foram renomeadas:
| Nome atual da recomendação | Novo nome da recomendação | Description | Chave de avaliação |
|---|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | As imagens de contêiner em execução do Azure devem ter vulnerabilidades resolvidas ( da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
| As imagens do Registro do contêiner elástico devem ter as descobertas de vulnerabilidade resolvidas | As imagens do contêiner de registro da AWS devem ter vulnerabilidades resolvidas - (alimentadas por Trivy) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
A priorização de riscos já está disponível para recomendações
15 de novembro de 2023
Agora você pode priorizar suas recomendações de segurança de acordo com o nível de risco que elas representam, levando em consideração a capacidade de exploração e o potencial efeito comercial de cada problema de segurança subjacente.
Ao organizar suas recomendações com base em seu nível de risco (Crítico, alto, médio, baixo), você é capaz de abordar os riscos mais críticos em seu ambiente e priorizar com eficiência a correção de problemas de segurança com base no risco real, como exposição à Internet, sensibilidade de dados, possibilidades de movimentação lateral e possíveis caminhos de ataque que poderiam ser mitigados com a resolução das recomendações.
Saiba mais sobre a priorização de risco.
Análise de caminho de ataque: novo mecanismo e aprimoramentos abrangentes
15 de novembro de 2023
Estamos lançando aprimoramentos para os recursos de análise de caminho de ataque no Defender para Nuvem.
Novo mecanismo – a análise de caminho de ataque tem um novo mecanismo, que usa o algoritmo de localização de caminho para detectar todos os caminhos de ataque possíveis que existem em seu ambiente de nuvem (com base nos dados que temos em nosso grafo). Podemos encontrar muito mais caminhos de ataque em seu ambiente e detectar padrões de ataque mais complexos e sofisticados que os invasores podem usar para violar sua organização.
Melhorias – As seguintes melhorias são lançadas:
- Priorização de risco – lista priorizada de caminhos de ataque com base no risco (explorabilidade e impacto nos negócios).
- Correção aprimorada – identificando as recomendações específicas que devem ser resolvidas para realmente quebrar a cadeia.
- Caminhos de ataque entre nuvens – detecção de caminhos de ataque que são nuvens cruzadas (caminhos que começam em uma nuvem e terminam em outra).
- MITRE – Mapeando todos os caminhos de ataque para a estrutura MITRE.
- Experiência do usuário atualizada – experiência atualizada com recursos mais fortes: filtros avançados, pesquisa e agrupamento de caminhos de ataque para permitir uma triagem mais fácil.
Saiba como identificar e corrigir caminhos de ataque.
Alterações no esquema de tabela do Azure Resource Graph do Caminho de Ataque
15 de novembro de 2023
O esquema de tabela do Azure Resource Graph do caminho de ataque é atualizado. A propriedade attackPathType é removida e outras propriedades são adicionadas.
Versão de disponibilidade geral do suporte ao GCP no Defender CSPM
15 de novembro de 2023
Estamos anunciando a versão GA (Disponibilidade Geral) do gráfico de segurança contextual na nuvem do Defender CSPM e análise de caminho de ataque com suporte para recursos GCP. Você pode aplicar o poder do GPSN do Defender para obter visibilidade abrangente e segurança da nuvem inteligente em todos os recursos do GCP.
Os principais recursos do nosso suporte à GCP incluem:
- Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
- Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
- Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções de plano do GPSN do Defender.
Note
O faturamento da versão GA do suporte GCP no Defender CSPM começará em 1º de fevereiro de 2024.
Versão de disponibilidade geral do painel de segurança de dados
15 de novembro de 2023
O painel de segurança de dados agora está disponível em Disponibilidade Geral (GA) como parte do plano Defender CSPM.
O painel de segurança de dados permite que você visualize o estado de dados da sua organização, os riscos para dados confidenciais e insights sobre seus recursos de dados.
Saiba mais sobre o painel de segurança de dados.
Disponibilidade geral da descoberta de dados confidenciais para bancos de dados
15 de novembro de 2023
A descoberta de dados confidenciais para bancos de dados gerenciados, incluindo bancos de dados SQL do Azure e instâncias do AWS RDS (todos os tipos de RDBMS) agora está disponível para o público geral e permite a descoberta automática de bancos de dados críticos que contêm dados confidenciais.
Para habilitar esse recurso em todos os armazenamentos de dados com suporte em seus ambientes, você precisa habilitar Sensitive data discovery no Defender CSPM. Saiba como habilitar a descoberta de dados confidenciais no Defender CSPM.
Você também pode aprender como a descoberta dados confidenciais é usada na postura de segurança com reconhecimento de dados.
Anúncio de visualização pública: Nova visibilidade expandida da segurança de dados multicloud no Microsoft Defender para Nuvem.
Nova versão da recomendação para localizar as atualizações do sistema ausentes agora é GA
6 de novembro de 2023
Um agente extra não é mais necessário em suas VMs do Azure e computadores do Azure Arc para garantir que os computadores tenham todas as atualizações críticas ou de segurança mais recentes do sistema.
A nova recomendação de atualizações do System updates should be installed on your machines (powered by Azure Update Manager) sistema, Apply system updates no controle, é baseada no Gerenciador de Atualizações e agora é totalmente GA. A recomendação depende de um agente nativo inserido em todos os computadores de VM do Azure e do Azure Arc, em vez de um agente instalado. A correção rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.
As versões antiga e nova das recomendações para encontrar atualizações de sistema ausentes estarão disponíveis até agosto de 2024, que é quando a versão mais antiga é preterida. Ambas as recomendações: System updates should be installed on your machines (powered by Azure Update Manager)e System updates should be installed on your machines estão disponíveis sob o mesmo controle: Apply system updates e tem os mesmos resultados. Portanto, não há duplicação no efeito na pontuação de segurança.
Recomendamos migrar para a nova recomendação e remover a antiga, desabilitando-a da iniciativa interna do Defender para Nuvem na política do Azure.
A recomendação [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) também é GA e é um pré-requisito, que terá um efeito negativo em sua Pontuação Segura. Você pode corrigir o efeito negativo com a Correção disponível.
Para aplicar a nova recomendação, você precisa:
- Conecte seus computadores fora do Azure ao Arc.
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)para corrigir a recomendação.
Note
A habilitação de avaliações periódicas para computadores habilitados para Arc em que o Plano 2 do Defender para Servidores não está habilitado em sua assinatura ou conector relacionados está sujeita aos preços do Gerenciador de Atualizações do Azure. Computadores habilitados para Arc em que o Plano 2 do Defender para Servidores está habilitado em sua assinatura ou conectores relacionados, ou qualquer VM do Azure, são elegíveis para essa funcionalidade sem nenhum custo adicional.
Outubro de 2023
Alterar a severidade do alerta de segurança do controle de aplicativo adaptável
Data do comunicado: 30 de outubro de 2023
Como parte do processo de melhoria da qualidade do alerta de segurança do Defender para Servidores e como parte do recurso de controles de aplicativo adaptáveis, a gravidade do seguinte alerta de segurança está mudando para "Informativo":
| Alerta [Tipo de alerta] | Descrição do alerta |
|---|---|
| A violação da política de controle de aplicativo adaptável foi auditada. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Os usuários abaixo executaram aplicativos que violam a política de controle de aplicativo da sua organização neste computador. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo. |
Para continuar exibindo esse alerta na página "Alertas de segurança" no portal do Microsoft Defender para Nuvem, altere a severidade do filtro de exibição padrão para incluir alertas informativos na grade.
Revisões offline do Gerenciamento de API do Azure removidas do Defender para APIs
25 de outubro de 2023
O Defender para APIs atualizou seu suporte para revisões de API de Gerenciamento de API do Azure. As revisões offline não aparecem mais no inventário integrado do Defender para APIs e não parecem mais estar integradas ao Defender para APIs. As revisões offline não permitem que nenhum tráfego seja enviado a elas e não representam risco de uma perspectiva de segurança.
Recomendações de gerenciamento de postura de segurança do DevOps disponíveis na versão prévia pública
19 de outubro de 2023
As novas recomendações de gerenciamento de postura do DevOps agora estão disponíveis em versão prévia pública, para todos os clientes com um conector para o Azure DevOps ou o GitHub. O gerenciamento de postura do DevOps ajuda a reduzir a superfície de ataque de ambientes de DevOps, descobrindo pontos fracos nas configurações de segurança e controles de acesso. Saiba mais sobre o gerenciamento de postura do DevOps.
Liberar o CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulatória
18 de outubro de 2023
O Microsoft Defender para Nuvem agora dá suporte ao mais recente CIS Azure Security Foundations Benchmark – versão 2.0.0 no painel de Conformidade Regulatória e a uma iniciativa de política interna no Azure Policy. O lançamento da versão 2.0.0 no Microsoft Defender para Nuvem é um esforço colaborativo conjunto entre a Microsoft, o CIS (Center for Internet Security) e as comunidades de usuários. A versão 2.0.0 expande significativamente o escopo de avaliação, que agora inclui mais de 90 políticas internas do Azure e êxito nas versões anteriores 1.4.0 e 1.3.0 e 1.0 no Microsoft Defender para Nuvem e no Azure Policy. Para obter mais informações, confira esta postagem no blog.
Setembro de 2023
Alterar para o limite diário do Log Analytics
O Azure Monitor oferece a capacidade de definir um limite diário nos dados ingeridos em seus workspaces do Log Analytics. No entanto, atualmente, não há suporte a eventos de segurança do Defender para Nuvem nessas exclusões.
O Limite Diário do Log Analytics não exclui mais o seguinte conjunto de tipos de dados:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Todos os tipos de dados faturáveis serão limitados se o limite diário for atingido. Essa mudança melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.
Saiba mais sobre workspaces com o Microsoft Defender para Nuvem.
Painel de Segurança de Dados disponível em visualização pública
27 de setembro de 2023
O Painel de Segurança de dados está agora em visualização pública como parte do plano GPSN do Defender. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina os riscos significativos para dados confidenciais, priorizando alertas e caminhos potenciais de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.
Versão prévia: novo processo de provisionamento automático para o SQL Server no plano de computadores
21 de setembro de 2023
O Microsoft Monitoring Agent (MMA) está sendo descontinuado em agosto de 2024. O Defender para Nuvem atualizou sua estratégia substituindo o MMA pelo lançamento de um processo de provisionamento automático do Agente de Monitoramento do Azure direcionado ao SQL Server.
Durante a versão prévia, os clientes que estiverem usando o processo de provisionamento automático do MMA com a opção agente do Azure Monitor (Versão prévia) são solicitados a migrar para o novo processo de provisionamento automático do Agente de Monitoramento do Azure para SQL Server em máquinas (versão prévia). O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.
Para obter mais informações, confira Migrar para o processo de provisionamento automático do Agente de Monitoramento do Azure direcionado ao SQL Server.
GitHub Advanced Security para alertas do Azure DevOps no Defender para Nuvem
20 de setembro de 2023
Agora você pode exibir alertas do GHAzDO (GitHub Advanced Security para Azure DevOps) relacionados ao CodeQL, segredos e dependências no Defender para Nuvem. Os resultados são exibidos na página DevOps e em Recomendações. Para ver esses resultados, integre seus repositórios habilitados para o GHAzDO ao Defender para Nuvem.
Saiba mais sobre GitHub Advanced Security para Azure DevOps.
Funcionalidade isenta agora disponível para recomendações do Defender para APIs
11 de setembro de 2023
Agora você pode isentar recomendações para as seguintes recomendações de segurança do Defender para APIs.
| Recommendation | Descrição e política relacionada | Severity |
|---|---|---|
| (Versão prévia) Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | Low |
| (Versão prévia) Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a execução da autenticação por meio das Chaves de Assinatura, JWT e Certificado do Cliente configurados no Gerenciamento de API do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação. | High |
Saiba mais sobre como isentar recomendações no Defender para Nuvem.
Criar alertas de exemplo para detecções do Defender para APIs
11 de setembro de 2023
Agora você pode gerar alertas de exemplo para as detecções de segurança lançadas como parte da versão prévia pública do Defender para APIs. Saiba mais sobre gerar alertas de exemplo no Defender para Nuvem.
Versão prévia: a avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte à verificação no pull
6 de setembro de 2023
A avaliação de vulnerabilidade de contêineres da plataforma Microsoft Defender Vulnerability Management agora dá suporte a um gatilho adicional para verificar imagens extraídas de um ACR. Esse gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes que verificam imagens enviadas por push para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.
Esse novo gatilho começará a ser distribuído hoje e deverá estar disponível para todos os clientes até o final de setembro.
Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
6 de setembro de 2023
O formato de nomenclatura dos benchmarks de base do CIS (Center for Internet Security) no painel de conformidade foi alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Consulte a tabela a seguir:
| Nome atual | Novo Nome |
|---|---|
| CIS do Azure 1.1.0 | CIS Azure Foundations v1.1.0 |
| CIS do Azure 1.3.0 | CIS Azure Foundations v1.3.0 |
| CIS do Azure 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| CIS GCP 1.1.0 | CIS GCP Foundations v1.1.0 |
| CIS GCP 1.2.0 | CIS GCP Foundations v1.2.0 |
Saiba como melhorar sua conformidade regulatória.
Descoberta de dados confidenciais para bancos de dados PaaS (prévia)
5 de setembro de 2023
Os recursos de postura de segurança com reconhecimento de dados para descoberta de dados confidenciais sem atrito para bancos de dados de PaaS (Bancos de Dados SQL do Azure e Instâncias do Amazon RDS de qualquer tipo) agora estão em visualização pública. Essa visualização pública permite que você crie um mapa dos seus dados críticos, onde quer que eles residam, e o tipo de dados que é encontrado nesses bancos de dados.
A descoberta de dados confidenciais para bancos de dados do Azure e da AWS adiciona à taxonomia e à configuração compartilhadas que já estão disponíveis publicamente para recursos de armazenamento de objetos na nuvem (Armazenamento de Blobs do Azure, buckets do AWS S3 e buckets de armazenamento do GCP) e fornece uma experiência única de configuração e habilitação.
Os bancos de dados são verificados semanalmente. Se você habilitar sensitive data discovery, a descoberta será executada em 24 horas. Os resultados podem ser exibidos no Cloud Security Explorer ou analisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.
A postura de segurança com reconhecimento de dados para bancos de dados está disponível no plano CSPM do Defender e é habilitada automaticamente nas assinaturas em que a opção sensitive data discovery está ativada.
Você pode saber mais sobre a postura de segurança consciente dos dados nos artigos a seguir:
- Suporte e pré-requisitos para a postura de segurança com reconhecimento de dados
- Habilitar a postura de segurança com reconhecimento de dados
- Explorar os riscos para dados confidenciais
GA (disponibilidade geral): verificação de malware no Defender para Armazenamento
1º de setembro de 2023
A verificação de malware já está em GA (disponibilidade geral) como um complemento do Defender para Armazenamento. A verificação de malware do Defender para Armazenamento ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, por meio das funcionalidades do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. A funcionalidade de verificação de malware é uma solução de SaaS sem agente que permite a configuração em escala e dá suporte à automação de respostas também em escala.
Saiba mais sobre a verificação de malware do Defender para Armazenamento.
A verificação de malware é precificada de acordo com seu orçamento e seu uso de dados. A cobrança será iniciada em 3 de setembro de 2023. Visite a página de preços para obter mais informações.
Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.
Leia a postagem no blog do comunicado sobre o Microsoft Defender para Nuvem.
Agosto de 2023
As atualizações de agosto incluem:
Defender para contêineres: descoberta sem agente para Kubernetes
30 de agosto de 2023
Estamos felizes em apresentar ao Defender para contêineres: descoberta sem agente para Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos abrangentes de inventário para ambientes Kubernetes. A nova oferta de contêiner é alimentada pelo grafo de segurança contextual do Defender para Nuvem. Veja o que é possível esperar desta atualização mais recente:
- Descoberta sem agente para o Kubernetes
- Funcionalidades abrangentes de inventário
- Insights de segurança específicos do Kubernetes
- Busca de risco aprimorada com o Cloud Security Explorer
A descoberta sem agente para Kubernetes agora está disponível para todos os clientes do Defender para contêineres. Comece a usar essas funcionalidades avançadas hoje. Incentivamos você a atualizar suas assinaturas para ter o conjunto completo de extensões habilitado e se beneficiar das adições e recursos mais recentes. Visite o painel Ambiente e configurações de sua assinatura do Defender para contêineres para habilitar a extensão.
Note
Habilitar as adições mais recentes não incorrerá em novos custos para clientes ativos do Defender para contêineres.
Para obter mais informações, consulte Visão geral da segurança de contêiner Microsoft Defender para contêineres.
Versão da recomendação: o Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais
22 de agosto de 2023
Uma nova recomendação no Defender para Armazenamento foi lançada. Essa recomendação garante que o Defender para Armazenamento esteja habilitado no nível da assinatura com recursos de verificação de malware e detecção de ameaças de dados confidenciais.
| Recommendation | Description |
|---|---|
| O Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. Com uma simples configuração sem agente em escala, quando habilitado no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura serão protegidas automaticamente. Você também pode excluir contas de armazenamento específicas de assinaturas protegidas. |
Essa nova recomendação substitui a recomendação atual Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, essa recomendação ainda estará disponível nas nuvens do Azure Governamental.
Saiba mais sobre o Microsoft Defender para Armazenamento.
As propriedades estendidas nos alertas de segurança do Defender para Nuvem são mascaradas nos logs de atividades
17 de agosto de 2023
Recentemente, alteramos a forma como os alertas de segurança e os logs de atividades são integrados. Para uma maior proteção das informações confidenciais dos clientes, não incluímos mais essas informações nos logs de atividades. Em vez disso, nós as mascaramos com asteriscos. No entanto, essas informações ainda estão disponíveis por meio da API de alertas, da exportação contínua e do portal do Defender para Nuvem.
Os clientes que dependem de logs de atividades para exportar alertas para suas soluções de SIEM devem considerar o uso de uma solução diferente, pois não é o método recomendado para exportar alertas de segurança do Defender para Nuvem.
Para obter instruções sobre como exportar alertas de segurança do Defender para Nuvem para SIEM, SOAR e outros aplicativos de terceiros, consulte Transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.
Versão prévia do suporte à GCP no GPSN do Defender
15 de agosto de 2023
Estamos anunciando a versão prévia do grafo de segurança de nuvem contextual do GPSN do Defender e a análise do caminho de ataque com suporte para recursos da GCP. Você pode aplicar o poder do GPSN do Defender para obter visibilidade abrangente e segurança da nuvem inteligente em todos os recursos do GCP.
Os principais recursos do nosso suporte à GCP incluem:
- Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
- Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
- Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções de plano do GPSN do Defender.
Novos alertas de segurança no Plano 2 do Defender para servidores: detectando possíveis ataques que usam indevidamente extensões de máquina virtual do Azure
7 de agosto de 2023
Esta nova série de alertas se concentra na detecção de atividades suspeitas das extensões de máquina virtual do Azure e fornece insights sobre as tentativas dos invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.
O Microsoft Defender para servidores agora pode detectar atividades suspeitas das extensões de máquina virtual, permitindo que você obtenha uma melhor cobertura da segurança das cargas de trabalho.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:
- Para coleta e monitoramento de dados.
- Para execução de código e implantação de configuração com altos privilégios.
- Para redefinir credenciais e criar usuários administrativos.
- Para criptografar discos.
Aqui está uma tabela dos novos alertas.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia) (VM_GPUExtensionSuspiciousFailure) |
Intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia. | Impact | Medium |
|
Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia) (VM_GPUDriverExtensionUnusualExecution) Esse alerta foi lançado em julho de 2023. |
Uma instalação suspeita de uma extensão de GPU foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais. | Impact | Low |
|
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousScript) |
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
|
Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousFailure) |
Um uso suspeito e não autorizado do recurso Executar Comando falhou e foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. | Execution | Medium |
|
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia) (VM_RunCommandSuspiciousUsage) |
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. | Execution | Low |
|
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia) (VM_SuspiciousMultiExtensionUsage) |
Um uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais ao analisar as operações do Resource Manager do Azure em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente. | Reconnaissance | Medium |
|
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia) (VM_DiskEncryptionSuspiciousUsage) |
A instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual pela análise das operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completas em suas máquinas virtuais por meio do Azure Resource Manager em uma tentativa de executar atividades de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões. | Impact | Medium |
|
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais (versão prévia) (VM_VMAccessSuspiciousUsage) |
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. | Persistence | Medium |
|
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual (versão prévia) (VM_DSCExtensionSuspiciousScript) |
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
|
O uso suspeito de uma extensão de DSC (Desired State Configuration) foi detectado em suas máquinas virtuais (versão prévia) (VM_DSCExtensionSuspiciousUsage) |
O uso suspeito de uma extensão DSC (Desired State Configuration) foi detectado em suas máquinas virtuais ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. | Impact | Low |
|
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia) (VM_CustomScriptExtensionSuspiciousCmd) (Esse alerta já existe e foi aprimorado com métodos de detecção e lógica mais aprimorados.) |
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. | Execution | High |
Consulte os alertas baseados em extensão no Defender para servidores.
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.
Modelo de negócios e atualizações de preços para planos do Defender para Nuvem
1 de agosto de 2023
Microsoft Defender para Nuvem tem três planos que oferecem proteção de camada de serviço:
Defender para Key Vault
Defender para Resource Manager
Defender para DNS
Esses planos foram transferidos para um novo modelo de negócios com preços e embalagens diferentes para atender aos comentários dos clientes sobre a previsibilidade de gastos e a simplificação da estrutura geral de custos.
Resumo de alterações de preços e modelo de negócios:
Os clientes existentes do Defender para Key Vault, do Defender para Resource Manager e do Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender para Resource Manager: esse plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender para Resource Manager.
Os clientes existentes do Defender para Key Vault, do Defender para Resource Manager e do Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender para Resource Manager: esse plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender para Resource Manager.
- Defender para Key Vault: esse plano tem um preço fixo por cofre e por mês, sem custo excedente. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por cofre do Defender para Key Vault
- Defender para DNS: Os clientes do Plano 2 do Microsoft Defender para servidores têm acesso ao valor do Defender para DNS como parte do Plano 2 do Microsoft Defender para servidores sem custo adicional. Os clientes que têm o Plano 2 do Defender para Servidor e o Defender para DNS não são mais cobrados pelo Defender para DNS. O Defender para DNS não está mais disponível como um plano autônomo.
Saiba mais sobre os preços desses planos na página de preços do Defender para Nuvem.
Julho de 2023
As atualizações de julho incluem:
Versão prévia da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
31 de julho de 2023
Estamos anunciando o lançamento da VA (Avaliação de Vulnerabilidade) para imagens de contêiner do Linux em registros de contêiner do Azure da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades no Defender para Contêineres e no Defender para Registros de Contêiner. A nova oferta de VA de contêiner será fornecida junto com nossa oferta de VA de contêiner existente da plataforma Qualys no Defender para contêineres e no Defender para Registros de Contêiner e incluirá verificações diárias de imagens de contêiner, informações de exploração, suporte para linguagens de sistema operacional e programação (SCA) e muito mais.
Essa nova oferta começará a ser distribuída hoje e deverá estar disponível para todos os clientes até 7 de agosto.
Saiba mais sobre a avaliação de vulnerabilidades de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.
A postura de contêineres sem agente no GPSN do Defender agora está em disponibilidade geral
30 de julho de 2023
Os recursos de postura de contêiner sem agente agora estão disponíveis em geral (GA) como parte do plano Defender CSPM (gerenciamento da postura de segurança na nuvem).
Saiba mais sobre a postura de contêineres sem agente no GPSN do Defender.
Gerenciamento de atualizações automáticas para o Microsoft Defender para Ponto de Extremidade para Linux
20 de julho de 2023
Por padrão, o Defender para Nuvem tenta atualizar seus agentes do Microsoft Defender para Ponto de Extremidade para Linux integrados com a extensão MDE.Linux. Com esta versão, você pode gerenciar essa configuração e recusar a configuração padrão para gerenciar seus ciclos de atualização manualmente.
Verificação de segredos sem agente para máquinas virtuais no Defender para servidores P2 e CSPM do Defender
18 de julho de 2023
A verificação de segredos agora está disponível como parte da verificação sem agente no Defender para servidores P2 e Defender CSPM. Esse recurso ajuda a detectar segredos não gerenciados e inseguros salvos em máquinas virtuais no Azure ou em recursos da AWS que podem ser usados para se mover lateralmente na rede. Se forem detectados segredos, o Defender para Nuvem pode ajudar a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimentação lateral, tudo isso sem afetar o desempenho do seu computador.
Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.
Novo alerta de segurança no plano 2 do Defender para servidores: detecção de possíveis ataques aproveitando as extensões de driver de GPU da VM do Azure
12 de julho de 2023
Esse alerta se concentra em identificar atividades suspeitas que aproveitam as extensões de driver de GPU da máquina virtual do Azure e fornece insights sobre as tentativas dos invasores de comprometer suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; Essas extensões geralmente são abusadas por atores de ameaça para utilizar todo o poder do cartão de GPU e executar o cryptojacking.
| Nome de Exibição do Alerta (Tipo de alerta) |
Description | Severity | Tática MITRE |
|---|---|---|---|
| Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia) (VM_GPUDriverExtensionUnusualExecution) |
Uma instalação suspeita de uma extensão do GPU foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. | Low | Impact |
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.
Suporte para desabilitar descobertas de vulnerabilidade específicas
9 de julho de 2023
Liberação de suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Caso você tenha uma necessidade organizacional para ignorar uma descoberta de vulnerabilidade na sua imagem de registro de contêiner, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua Secure Score nem geram ruído indesejado.
Saiba como desabilitar as constatações da avaliação de vulnerabilidade em imagens do Registro de contêiner.
A postura de segurança com reconhecimento de dados já está em disponibilidade geral
1º de julho de 2023
A postura de segurança com reconhecimento de dados no Microsoft Defender para Nuvem já está em disponibilidade geral. Ela ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Usando a postura de segurança com reconhecimento de dados, você pode:
- Descubra automaticamente recursos de dados confidenciais no Azure e no AWS.
- Avaliar a confidencialidade dos dados, a exposição de dados e como os dados fluem pela organização.
- Descobrir proativa e continuamente riscos que podem levar a violações de dados.
- Detecte atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais
Para obter mais informações, confira Postura de segurança com reconhecimento de dados no Microsoft Defender para Nuvem.
Junho de 2023
As atualizações de junho incluem:
Integração simplificada de contas em várias nuvens com configurações aprimoradas
26 de junho de 2023
O Defender para Nuvem melhorou a experiência de integração para incluir uma nova interface de usuário e instruções simplificadas, além de novos recursos que permitem integrar seus ambientes AWS e GCP, fornecendo acesso a recursos avançados de integração.
Para as organizações que adotaram o Hashicorp Terraform para automação, o Defender para Nuvem agora inclui a capacidade de usar o Terraform como método de implantação juntamente com o AWS CloudFormation ou o GCP Cloud Shell. Agora você pode personalizar os nomes das funções necessárias ao criar a integração. Você também pode selecionar entre:
Acesso padrão – permite que o Defender para Nuvem examine seus recursos e inclua automaticamente recursos futuros.
Acesso com menos privilégios - concede ao Defender para Nuvem acesso somente às permissões atuais necessárias para os planos selecionados.
Se você selecionar as permissões menos privilegiadas, só receberá notificações sobre quaisquer novas funções e permissões necessárias para obter a funcionalidade completa na seção de integridade do conector.
O Defender para Nuvem permite distinguir suas contas de nuvem por seus nomes nativos daqueles dos fornecedores de nuvem. Por exemplo, codinomes de conta da AWS e nomes do projeto GCP.
Suporte ao Ponto de Extremidade Privado para verificação de malware no Defender para Armazenamento
25 de junho de 2023
O suporte ao Ponto de Extremidade Privado agora está disponível como parte da visualização pública da verificação de malware no Defender para Armazenamento. Essa funcionalidade permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma configuração adicional é necessária.
A verificação de malware (versão prévia) no Defender para Armazenamento ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando recursos do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero e dá suporte à automatização da resposta em escala.
Os pontos de extremidade privados fornecem conectividade segura aos serviços do Armazenamento do Azure, eliminando a exposição pública à Internet, e são considerados uma prática recomendada.
Para contas de armazenamento com pontos de extremidade privados que já têm a verificação de malware habilitada, você precisará desabilitar e habilitar o plano com verificação de malware para que isso funcione.
Saiba mais sobre como usar pontos de extremidade privados no Defender para Armazenamento e como proteger ainda mais seus serviços de armazenamento.
Recomendação lançada em versão prévia: as imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender)
21 de junho de 2023
Uma nova recomendação de contêiner no Defender CSPM da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades é lançada para versão prévia:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| As imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender)(versão prévia) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Essa nova recomendação substitui a recomendação atual de mesmo nome, da plataforma Qualys, somente no GPSN do Defender (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).
As atualizações de controle foram feitas para os padrões NIST 800-53 em conformidade regulatória
15 de junho de 2023
Os padrões NIST 800-53 (R4 e R5) foram atualizados recentemente com alterações de controle no Microsoft Defender para conformidade regulatória na nuvem. Os controles gerenciados pela Microsoft foram removidos do padrão e as informações sobre a implementação de responsabilidade da Microsoft (como parte do modelo de responsabilidade compartilhada na nuvem) agora estão disponíveis apenas no painel de detalhes do controle em Ações da Microsoft.
Esses controles foram calculados anteriormente como controles passados, portanto, você pode visualizar uma queda significativa na pontuação de conformidade para padrões NIST entre abril de 2023 e maio de 2023.
Para obter mais informações sobre controles de conformidade, consulte Tutorial: Verificações de conformidade regulatória – Microsoft Defender para Nuvem.
O planejamento da migração para a nuvem com um caso de negócios do Migrações para Azure agora inclui o Defender para Nuvem
11 de junho de 2023
Agora você pode descobrir possíveis economias de custo em segurança aplicando o Defender para Nuvem no contexto de um caso de negócios do Migrações para Azure.
A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está em Disponibilidade Geral
7 de junho de 2023
A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está em Disponibilidade Geral. A configuração expressa fornece uma experiência de integração simplificada para avaliações de vulnerabilidade do SQL usando uma configuração com um clique (ou uma chamada à API). Não há configurações ou dependências extras necessárias nas contas de armazenamento gerenciadas.
Confira este blog para saber mais sobre a configuração expressa.
Você pode aprender as diferenças entre as configurações expressa e clássica.
Mais escopos adicionados aos Conectores do Azure DevOps existentes
6 de junho de 2023
O Defender para DevOps adicionou os seguintes escopos extras ao aplicativo ADO (Azure DevOps):
Gerenciamento avançado de segurança:
vso.advsec_manage. O que é necessário para permitir que você habilite, desabilite e gerencie o GitHub Advanced Security para o ADO.Mapeamento de contêiner:
vso.extension_manage,vso.gallery_manager; O que é necessário para permitir que você compartilhe a extensão do decorador com a organização do ADO.
Somente novos clientes do Defender para DevOps que estão tentando integrar recursos do ADO para o Microsoft Defender para Nuvem são afetados por essa alteração.
A integração direta (sem o Azure Arc) ao Microsoft Defender para Servidores agora está em Disponibilidade Geral
5 de junho, 2023
Anteriormente, o Azure Arc era necessário para integrar servidores que não são do Azure ao Microsoft Defender para Servidores. No entanto, com a versão mais recente, você também pode integrar seus servidores locais ao Microsoft Defender para Servidores usando apenas o agente do Microsoft Defender para Ponto de Extremidade.
Esse novo método simplifica o processo de integração para clientes focados na proteção de ponto de extremidade principal e permite que você aproveite a cobrança baseada em consumo do Defender para Servidores para ativos de nuvem e fora da nuvem. A opção de integração direta por meio do Defender para Ponto de Extremidade já está disponível, com cobrança para computadores integrados a partir de 1º de julho.
Para obter mais informações, confira Conectar seus computadores que não são do Azure ao Microsoft Defender para Nuvem com o Defender para Ponto de Extremidade.
Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no GPSN do Defender
4 de junho de 2023
Com as funcionalidades de Postura de Contêiner sem Agente disponíveis no GPSN do Defender, as funcionalidades de descoberta baseada em agente são desativadas. Se você atualmente usa recursos de contêiner no Defender CSPM, verifique se as extensões relevantes estão habilitadas para continuar recebendo o valor relacionado ao contêiner dos novos recursos sem agente, como caminhos de ataque, insights e inventário relacionados a contêineres. (Pode levar até 24 horas para ver os efeitos da habilitação das extensões).
Saiba mais em Postura de contêiner sem agente.
Maio de 2023
As atualizações de maio incluem:
- Um novo alerta no Defender para Key Vault.
- Suporte para verificação sem agente de discos criptografados na AWS.
- Alterações nas convenções de nomenclatura JIT (Just-In-Time) no Defender para Nuvem.
- A integração de regiões selecionadas da AWS.
- Alterações nas recomendações de identidade.
- Descontinuação de padrões legados no painel de conformidade.
- Atualização de duas recomendações do Defender para DevOps para incluir descobertas de verificação do Azure DevOps
- Nova configuração padrão para a solução de avaliação de vulnerabilidades do Defender para Servidores.
- Capacidade de baixar um relatório CSV dos resultados da consulta do gerenciador de segurança na nuvem (versão prévia).
- O lançamento da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender.
- A renomeação de recomendações de contêiner alimentadas por Qualys.
- Uma atualização para o aplicativo GitHub do Defender para DevOps.
- Altere para as anotações de solicitação de pull do Defender para DevOps em repositórios do Azure DevOps que agora incluem configurações incorretas de infraestrutura como código.
Novo alerta do Defender para Key Vault
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo) (KV_UnusualAccessSuspiciousIP) |
Um usuário ou entidade de serviço tentou acessar de forma anômala os cofres de chaves a partir de um IP não pertencente à Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Acesso à credencial | Medium |
Para ver todos os alertas disponíveis, confira Alertas para Azure Key Vault.
A verificação sem agente agora tem suporte para discos criptografados na AWS
A verificação sem agente para VMs agora suporta o processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.
Esse suporte estendido aumenta a cobertura e a visibilidade de seu espaço na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero nas instâncias em execução.
- Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é interna e suportada por padrão.
- Para clientes existentes que já possuem um conector AWS com a verificação sem agente ativada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo atualizado do CloudFormation inclui novas atribuições que permitem ao Microsoft Defender para Nuvem processar discos os criptografados.
Você pode saber mais sobre as permissões usadas para verificar as instâncias da AWS.
Para reaplicar sua pilha do CloudFormation:
- Acesse as configurações do ambiente do Microsoft Defender para Nuvem e abra o conector da AWS.
- Navegue até a guia Configurar Acesso .
- Selecione Clique para baixar o modelo do CloudFormation.
- Navegue até o ambiente da AWS e aplique o modelo atualizado.
Saiba mais sobre a verificação sem agente e a habilitação da verificação sem agente no AWS.
Convenções de nomenclatura de regra JIT (just-in-time) revisadas no Defender para Nuvem
Revisamos as regras JIT (just-in-time) para se alinharem à marca Microsoft Defender para Nuvem. Alteramos as convenções de nomenclatura para regras de Firewall do Azure e Grupo de Segurança de Rede (NSG).
As alterações são listadas da seguinte maneira:
| Description | Nome Antigo | Novo Nome |
|---|---|---|
| Nomes de regras JIT (permitir e negar) no Grupo de Segurança de Rede (NSG) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrições de regras JIT no NSG | Regra de acesso à rede JIT da ASC | Regra de acesso à rede JIT do MDC |
| Nomes de coleção de regras de firewall JIT | ASC-JIT | MDC-JIT |
| Nomes de regras de firewall JIT | ASC-JIT | MDC-JIT |
Saiba como proteger suas portas de gerenciamento com acesso just-in-time.
Integrar as regiões da AWS selecionadas
Para ajudar você a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS verificar ao adicionar ou editar um conector de nuvem. Agora você pode verificar regiões específicas da AWS selecionadas ou todas as regiões disponíveis (padrão) ao integrar suas contas da AWS ao Microsoft Defender para Nuvem. Saiba mais em Conectar sua conta da AWS ao Microsoft Defender para Nuvem.
Várias alterações nas recomendações de identidade
As seguintes recomendações agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.
Versão em GA (disponibilidade geral) das recomendações de identidade V2
A versão V2 das recomendações de identidade apresenta os aprimoramentos a seguir:
- O escopo da verificação foi expandido para incluir todos os recursos do Azure, não apenas as assinaturas. Isso permite que os administradores de segurança exibam atribuições de função por conta.
- As contas específicas podem agora ser isentas de avaliação. Contas do tipo acesso rápido ou contas de serviço podem ser excluídas pelos administradores de segurança.
- A frequência de verificação foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.
As seguintes recomendações de segurança estão disponíveis em disponibilidade geral e substituem as recomendações V1:
| Recommendation | Chave de Avaliação |
|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | 20606e75-05c4-48c0-9d97-add6daa2109a |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Preterimento das recomendações de identidade V1
As seguintes recomendações de segurança foram preteridas:
| Recommendation | Chave de Avaliação |
|---|---|
| A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| A MFA deve ser habilitada em contas com permissões de gravação em assinaturas. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| A MFA deve ser habilitada em contas com permissões de leitura em assinaturas. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Contas externas com permissões de proprietário devem ser removidas das assinaturas. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Contas externas com permissões de gravação devem ser removidas das assinaturas. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Contas externas com permissões de leitura devem ser removidas das assinaturas. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. | e52064aa-6853-e252-a11e-dffc675689c2 |
| As contas preteridas devem ser removidas das assinaturas | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações V2.
Substituição de padrões herdados no painel de conformidade
O PCI DSS v3.2.1 herdado e o SOC TSP herdado foram totalmente preteridos no painel de conformidade do Defender para Nuvem e substituídos pela iniciativa SOC 2 Tipo 2 e pelos padrões de conformidade baseados na iniciativa PCI DSS v4. Temos suporte totalmente preterido do PCI DSS standard/initiative no Microsoft Azure operado pela 21Vianet.
Saiba como personalizar o conjunto de padrões no seu painel de conformidade regulatória.
O Defender para DevOps inclui descobertas de verificação do Azure DevOps
O Defender para DevOps Code e a IaC expandiram sua cobertura de recomendação no Microsoft Defender para Nuvem para incluir as descobertas de segurança do Azure DevOps para as duas recomendações a seguir:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, a cobertura da verificação de segurança do Azure DevOps incluía apenas a recomendação de segredos.
Saiba mais sobre o Defender para DevOps.
Nova configuração padrão para a solução de avaliação de vulnerabilidades do Defender para servidores
As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger os computadores contra ataques cibernéticos e violações de dados.
O Gerenciamento de Vulnerabilidades do Microsoft Defender agora está habilitado como a solução interna padrão para todas as assinaturas protegidas pelo Defender para Servidores que ainda não têm uma solução VA selecionada.
Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.
Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).
Baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem (versão prévia)
O Defender para Nuvem adicionou a capacidade de baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem.
Depois de executar uma pesquisa por uma consulta, você pode selecionar o botão Baixar relatório CSV (versão prévia) na página do Cloud Security Explorer no Defender para Nuvem.
Saiba como Criar consultas com o gerenciador de segurança na nuvem
O lançamento da avaliação de vulnerabilidades de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
Estamos anunciando o lançamento da Avaliação de Vulnerabilidade para imagens do Linux em registros de contêiner do Azure da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades no Defender CSPM. Essa versão inclui a verificação diária de imagens. As descobertas usadas no Gerenciador de Segurança e nos caminhos de ataque dependem da Avaliação de Vulnerabilidade do Microsoft Defender, em vez do verificador Qualys.
A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| As descobertas de vulnerabilidade das imagens do registro de contêiner devem ser resolvidas (por meio da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | dbd0cb49-b563-45e7-9724-889e799fa648 é substituído por c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Saiba mais sobre a postura de contêineres sem agente no CSPM do Defender.
Saiba mais sobre o Gerenciamento de Vulnerabilidades do Microsoft Defender.
Renomeação das recomendações de contêiner da plataforma Qualys
As recomendações de contêiner atuais no Defender para Contêineres serão renomeadas da seguinte maneira:
| Recommendation | Description | Chave de Avaliação |
|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) | A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Atualização do Aplicativo GitHub do Defender para DevOps
O Microsoft Defender para DevOps está constantemente fazendo alterações e atualizações que exigem que os clientes do Defender para DevOps que integraram seus ambientes do GitHub no Defender para Nuvem forneçam permissões como parte do aplicativo implantado em sua organização do GitHub. Essas permissões são necessárias para garantir que todos os recursos de segurança do Defender para DevOps operem normalmente e sem problemas.
Sugerimos atualizar as permissões o mais rápido possível para garantir o acesso contínuo a todos os recursos disponíveis do Defender para DevOps.
As permissões podem ser concedidas de duas maneiras diferentes:
Em sua organização, selecione Os Aplicativos do GitHub. Localize sua organização e selecione Examinar solicitação.
Você receberá um email automatizado do Suporte do GitHub. No email, selecione Revisar solicitação de permissão para aceitar ou rejeitar essa alteração.
Depois de seguir qualquer uma dessas opções, você será direcionado para a tela de revisão, na qual deverá examinar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.
Se você precisar de assistência para atualizar permissões, poderá criar uma solicitação de suporte do Azure.
Saiba mais sobre o Defender para DevOps. Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.
Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).
As anotações de solicitação de pull do Defender para DevOps nos repositórios do Azure DevOps agora incluem Infraestrutura como configurações incorretas de código
O Defender para DevOps expandiu sua cobertura de anotação de Solicitação de Pull (PR) no Azure DevOps para incluir configurações incorretas de Infraestrutura como Código (IaC) detectadas em modelos do Azure Resource Manager e do Bicep.
Os desenvolvedores agora podem ver anotações de configurações incorretas de IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho de nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de severidade, uma descrição de configuração incorreta e instruções de correção dentro de cada anotação.
Anteriormente, a cobertura para anotações de PR do Defender para DevOps no Azure DevOps incluía apenas segredos.
Saiba mais sobre anotações do Defender para DevOps e Anotações de Solicitação de Pull.
Abril de 2023
As atualizações de abril incluem:
- Postura de contêiner sem agente no GPSN do Defender (versão prévia)
- Recomendação da nova versão prévia da criptografia de disco unificada
- Alterações na recomendação Computadores devem ser configurados com segurança
- Preterimento das políticas de monitoramento de linguagem do Serviço de Aplicativo
- Novo alertas no Defender para Resource Manager
- Três alertas no plano Defender para Resource Manager foram preteridos
- A exportação automática de alertas para o workspace do Log Analytics foi preterida
- Preterimento e aprimoramento de alertas selecionados para servidores Windows e Linux
- Novas recomendações relacionadas à autenticação do Azure Active Directory para Serviços de Dados do Azure
- Duas recomendações relacionadas a atualizações do sistema operacional (SO) ausentes foram publicadas em Disponibilidade Geral (GA)
- Defender para APIs (Versão prévia)
Postura de contêiner sem agente no GPSN do Defender (versão prévia)
Os novos recursos de Postura de Contêiner sem Agente (versão prévia) estão disponíveis como parte do plano de GPSN do Defender (Gerenciamento da Postura de Segurança na Nuvem).
A Postura de Contêiner sem Agente permite que as equipes de segurança identifiquem riscos de segurança em contêineres e realms do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade em seus registros do kubernetes e contêineres em SDLC e runtime, removendo atrito e volume das cargas de trabalho.
A Postura de Contêiner sem Agente oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise do caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades de contêiner específicas. Você também pode usar o gerenciador de segurança de nuvem para descobrir riscos e buscar insights de postura de contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostos à Internet.
Saiba mais em Postura de contêiner sem agente (versão prévia).
Recomendação da criptografia de disco unificada (versão prévia)
Há novas recomendações de criptografia de disco unificada em versão prévia.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Essas recomendações substituem Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detectou o Azure Disk Encryption e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detectou o EncryptionAtHost. O ADE e o EncryptionAtHost fornecem uma cobertura de criptografia em repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detectam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiverem. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).
As novas recomendações exigem a Configuração de Máquina do Gerenciamento Automatizado do Azure.
Essas recomendações são baseadas nas seguintes políticas:
- (Versão prévia) As máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou o EncryptionAtHost
- (Versão prévia) As máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou o EncryptionAtHost
Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.
Alterações na recomendação Os computadores devem ser configurados com segurança
A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha a sua experiência com o comportamento genérico das recomendações do Defender para Nuvem.
Como parte dessa atualização, a ID das recomendações foi alterada de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.
Nenhuma ação é necessária no lado do cliente e não há expectativa de impacto na pontuação de segurança.
Preterimento das políticas de monitoramento de linguagem do Serviço de Aplicativo
As seguintes políticas de monitoramento de linguagem do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Você sempre deve garantir que está usando uma versão de linguagem sem nenhuma vulnerabilidade conhecida.
| Nome da política | ID da Política |
|---|---|
| Os aplicativos do Serviço de Aplicativo que usam o Java devem utilizar a 'versão do Java' mais recente | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a 'versão do Python' mais recente | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos de Funções que usam o Java devem utilizar a “versão do Java” mais recente | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Os aplicativos de funções que usam o Python devem usar a 'versão do Python' mais recente | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de linguagem especificada para os Serviços de Aplicativos.
Essas políticas não estarão mais disponíveis nas recomendações integradas do Defender para Nuvem. Você pode adicioná-las como recomendações personalizadas para que o Defender para Nuvem as monitore.
Novo alertas no Defender para Resource Manager
O Defender para Resource Manager tem o novo alerta a seguir:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada (ARM_SuspiciousComputeCreation) |
O Microsoft Defender para Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Dimensionamento do Azure. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada. |
Impact | Medium |
Você pode ver uma lista de todos os alertas disponíveis para o Resource Manager.
Três alertas no plano Defender para Resource Manager foram preteridos
Os três alertas a seguir para o plano do Defender para Resource Manager foram preteridos:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
No cenário em que uma atividade de um endereço IP suspeito for detectada, um dos seguintes alertas do plano Defender para Resource Manager Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.
A exportação automática de alertas para o workspace do Log Analytics está definida para ser preterida
Os alertas de segurança do Defender para Nuvem são exportados automaticamente para um workspace do Log Analytics padrão no nível do recurso. Isso causa um comportamento indeterminado e, portanto, esse recurso foi preterido.
Em vez disso, você pode exportar seus alertas de segurança para um workspace dedicado do Log Analytics com Exportação Contínua.
Se você já tiver configurado a exportação contínua de seus alertas para um workspace do Log Analytics, nenhuma ação adicional será necessária.
Preterimento e aprimoramento de alertas selecionados para servidores Windows e Linux
O processo de aprimoramento da qualidade do alerta de segurança do Defender para servidores inclui o preterimento de alguns alertas para servidores Windows e Linux. Os alertas preteridos agora são originados e cobertos pelos alertas de ameaça do Defender para Ponto de Extremidade.
Se a integração do Defender para Ponto de Extremidade já estiver habilitada, nenhuma ação adicional será necessária. Você poderá observar uma diminuição no volume de alertas em abril de 2023.
Se você não tiver a integração do Defender para Ponto de Extremidade habilitada no Defender para servidores, será necessário habilitar a integração do Defender para Ponto de Extremidade a fim de manter e aprimorar a cobertura de alertas.
Todos os clientes do Defender para Servidores têm acesso total à integração do Defender para Ponto de Extremidade como parte do plano do Defender para Servidores.
Saiba mais sobre as opções de integração do Microsoft Defender para Ponto de Extremidade.
Você também pode ver a lista completa de alertas que estão definidos para serem preteridos.
Leia o Blog do Microsoft Defender para Nuvem.
Novas recomendações relacionadas à autenticação do Azure Active Directory para Serviços de Dados do Azure
Adicionamos quatro novas recomendações de autenticação do Active Directory do Azure para os Serviços de Dados do Azure.
| Nome da recomendação | Descrição da recomendação | Policy |
|---|---|---|
| O modo de autenticação de Instância Gerenciada de SQL do Azure deve ser Somente do Azure Active Directory | Desabilitar os métodos de autenticação local e permitir apenas a autenticação do Azure Active Directory melhora a segurança, garantindo que as Instâncias Gerenciadas de SQL do Azure possam ser acessadas exclusivamente pelas identidades do Azure Active Directory. | A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada |
| O modo de autenticação de Workspace do Azure Synapse deve ser Somente do Azure Active Directory | Os métodos de autenticação somente do Azure Active Directory aprimoram a segurança, garantindo que os Workspaces do Synapse exijam exclusivamente identidades do Azure AD para autenticação. Saiba mais. | Os Workspaces do Azure Synapse só devem usar as identidades do Azure Active Directory para autenticação |
| O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Active Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL a fim de habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | Um administrador do Azure Active Directory deve ser provisionado para servidores MySQL |
| O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Active Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL a fim de habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | Um administrador do Azure Active Directory deve ser provisionado para servidores PostgreSQL |
Duas recomendações relacionadas a atualizações do sistema operacional (SO) ausentes foram publicadas em Disponibilidade Geral (GA)
As recomendações System updates should be installed on your machines (powered by Azure Update Manager) e Machines should be configured to periodically check for missing system updates foram publicadas em Disponibilidade Geral.
Para usar a nova recomendação, é necessário:
- Conecte seus computadores fora do Azure ao Arc.
-
Ative a propriedade de avaliação periódica. Você pode usar o botão Corrigir.
Na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
Após concluir essas etapas, você poderá remover a antiga recomendação System updates should be installed on your machines desabilitando-a na iniciativa integrada do Defender para Nuvem na política do Azure.
As duas versões das recomendações:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarão disponíveis até que o agente do Log Analytics seja preterido em 31 de agosto de 2024, que é quando a versão mais antiga (System updates should be installed on your machines) da recomendação também será preterida. Ambas as recomendações retornam o mesmo resultado e estão disponíveis no âmbito do mesmo controle de Apply system updates.
A nova System updates should be installed on your machines (powered by Azure Update Manager) de recomendação tem um fluxo de correção disponível por meio do botão Corrigir, que pode ser usado para corrigir quaisquer resultados por meio do Gerenciador de atualizações (visualização). Esse processo de correção ainda está em Versão Prévia.
Não se espera que a nova System updates should be installed on your machines (powered by Azure Update Manager) de recomendação afete sua Pontuação Segura, pois ela tem os mesmos resultados que a antiga System updates should be installed on your machines de recomendação.
A recomendação de pré-requisito (Habilitar a propriedade de avaliação periódica ) tem um efeito negativo na sua pontuação segura. Você pode corrigir o efeito negativo com o botão Correção disponível.
Defender para APIs (Versão prévia)
O Defender para Nuvem da Microsoft está anunciando que o novo Defender para APIs está disponível em versão preliminar.
O Defender para APIs oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs.
O Defender para APIs ajuda você a obter visibilidade das APIs comercialmente críticas. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar rapidamente ameaças ativas em tempo real.
Saiba mais sobre o Defender para APIs.
Março de 2023
As atualizações de março incluem:
- Um novo plano do Defender para Armazenamento está disponível, incluindo a verificação de malware em tempo quase real e a detecção de ameaças contra dados confidenciais
- Postura de segurança com reconhecimento de dados (versão prévia)
- Experiência aprimorada para gerenciar as políticas de segurança padrão do Azure
- O Defender GPSN (Gerenciamento da Postura de Segurança na Nuvem) agora está em Disponibilidade Geral (GA)
- Opção para criar recomendações e padrões de segurança personalizados no Microsoft Defender para Nuvem
- O Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está em Disponibilidade Geral (GA)
- Alguns padrões de conformidade regulatória agora estão disponíveis nas nuvens governamentais
- Nova recomendação de visualização para servidores SQL do Azure
- Novo alerta do Defender para Key Vault
Um novo plano do Defender para Armazenamento está disponível, incluindo a verificação de malware em tempo quase real e a detecção de ameaças contra dados confidenciais
O armazenamento na nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje estamos anunciando um novo plano do Defender para Armazenamento. Se você estiver usando o plano anterior (agora renomeado para "Defender para Armazenamento (clássico)"), precisará migrar proativamente para o novo plano para usar os novos recursos e benefícios.
O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Esse plano também fornece uma estrutura de preços mais previsível e mais flexível para um melhor controle da cobertura e dos custos.
O novo plano tem novos recursos, agora em pré-visualização pública:
Detecção de eventos de exposição e exfiltração de dados confidenciais
Verificação de malware de blobs no upload em tempo quase real em todos os tipos de arquivo
Detecção de entidades sem nenhuma identidade usando tokens SAS
Esses recursos aprimoram o recurso de Monitoramento de Atividades existente com base no controle e na análise de logs do plano de dados e na modelagem comportamental para identificar os primeiros sinais de violação.
Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece um controle granular sobre a proteção de dados nos níveis de assinatura e de recursos.
Saiba mais em Visão geral do Microsoft Defender para Armazenamento.
Postura de segurança com reconhecimento de dados (versão prévia)
O Microsoft Defender para Nuvem ajuda as equipes de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na nuvem. O recurso permite que as equipes superem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, impedindo uma violação de dados dispendiosa.
- Descubra recursos de dados automaticamente em todo o acervo da nuvem e avalie sua acessibilidade, a confidencialidade dos dados e os fluxos de dados configurados. — Revele continuamente os riscos dos caminhos de ataque ou exposição das violações de dados de recursos de dados confidenciais que podem resultar na possibilidade de um recurso de dados usar uma técnica de movimentação lateral.
- Detecte atividades suspeitas que possam indicar uma ameaça em andamento aos recursos de dados confidenciais.
Saiba mais sobre a postura de segurança com reconhecimento de dados.
Experiência aprimorada para gerenciar as políticas de segurança padrão do Azure
Estamos apresentando uma experiência aprimorada de gerenciamento de políticas de segurança do Azure para recomendações integradas que simplificam a forma como os clientes do Defender para Nuvem ajustam seus requisitos de segurança. A nova experiência inclui os seguintes novos recursos:
- Uma interface simples permite melhor desempenho e experiência ao gerenciar políticas de segurança padrão no Defender para Nuvem.
- Uma exibição única de todas as recomendações de segurança integradas oferecidas pelo Microsoft Cloud Security Benchmark (antigo Azure Security Benchmark). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos incluídos e a relação entre os parâmetros e recomendações.
- Novos recursos, como filtros e pesquisa, foram adicionados.
Saiba como gerenciar políticas de segurança.
Leia o Blog do Microsoft Defender para Nuvem.
O Defender GPSN (Gerenciamento da Postura de Segurança na Nuvem) agora está em Disponibilidade Geral (GA)
Estamos anunciando que o CSPM do Defender agora está em disponibilidade geral (GA). O Defender GPSN oferece todos os serviços disponíveis como recursos fundamentais de GPSN e adiciona os seguintes benefícios:
- Análise do caminho de ataque e a API do ARG — A análise do caminho de ataque usa um algoritmo baseado em grafo que verifica o grafo de segurança da nuvem para expor os caminhos do ataque e sugere recomendações para a melhor forma de corrigir os problemas que interrompem o caminho de ataque e evitar que uma violação seja bem-sucedida. Você também pode consumir caminhos de ataque programaticamente consultando a API do Azure Resource Graph (ARG). Saiba como usar a Análise do caminho de ataque
- Cloud Security Explorer — use o Cloud Security Explorer para executar consultas baseadas em grafo no grafo de segurança da nuvem para identificar proativamente os riscos de segurança nos seus ambientes multinuvem. Saiba mais sobre o Cloud Security Explorer.
Saiba mais sobre o Defender CSPM.
Opção para criar recomendações e padrões de segurança personalizados no Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem fornece a opção de criar recomendações e padrões personalizados para a AWS e o GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas relativas aos seus dados. Esse recurso faz parte do plano de GPSN (Gerenciamento da Postura de Segurança na Nuvem) do Defender. Saiba como criar recomendações e padrões personalizados.
O Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está em Disponibilidade Geral (GA)
O Microsoft Defender para Nuvem está anunciando que o Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está em Disponibilidade Geral (GA).
O MCSB versão 1.0 substitui o Azure Security Benchmark (ASB) versão 3 como a política de segurança padrão do Defender para Nuvem. O MCSB versão 1.0 aparece como o padrão de conformidade padrão no painel de controle de conformidade e está habilitado por padrão para todos os clientes do Defender para Nuvem.
Você também pode aprender Como o Microsoft Cloud Security Benchmark (MCSB) ajuda você a ser bem-sucedido em sua jornada de segurança na nuvem.
Saiba mais sobre o MCSB.
Alguns padrões de conformidade regulatória agora estão disponíveis nas nuvens governamentais
Estamos atualizando esses padrões para clientes no Azure Governamental e no Microsoft Azure operados pela 21Vianet.
Azure Governamental:
Microsoft Azure operado pela 21Vianet:
Saiba como Personalizar o conjunto de padrões no seu painel de conformidade regulatória.
Nova recomendação de visualização para servidores SQL do Azure
Adicionamos uma nova recomendação para os Servidores SQL do Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
A recomendação é baseada na política existente Azure SQL Database should have Azure Active Directory Only Authentication enabled
Essa recomendação desabilita os métodos de autenticação local e permite apenas a Autenticação do Azure Active Directory que melhora a segurança, garantindo que os Bancos de Dados SQL do Azure possam ser acessados exclusivamente pelas identidades do Azure Active Directory.
Saiba como criar servidores com a autenticação somente Azure AD habilitada no SQL do Azure.
Novo alerta do Defender para Key Vault
O Defender para Key Vault tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Acesso negado de um IP suspeito a um cofre de chaves (KV_SuspiciousIPAccessDenied) |
Tentativa de acesso sem êxito ao cofre de chaves por um IP que foi identificado pela inteligência contra ameaças da Microsoft como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. | Acesso à credencial | Low |
Você pode ver uma lista de todos os alertas disponíveis para o Key Vault.
Fevereiro de 2023
As atualizações de fevereiro incluem:
- Cloud Security Explorer aprimorado
- Verificações de vulnerabilidade do Microsoft Defender para contêineres de execução de imagens do Linux agora em GA
- Anunciando suporte para o padrão de conformidade AWS CIS 1.5.0
- O Microsoft Defender para DevOps (versão prévia) agora está disponível em outras regiões
- A política interna [Versão prévia]: O ponto de extremidade privado deve ser configurado para o Key Vault foi preterida
Cloud Security Explorer aprimorado
Uma versão aprimorada do Cloud Security Explorer inclui uma experiência de usuário atualizada que remove consideravelmente o atrito de consulta, adicionou a capacidade de executar consultas multinuvem e de vários recursos e inseriu a documentação para cada opção de consulta.
O Cloud Security Explorer já permite que você execute consultas abstratas na nuvem entre recursos. Use os modelos de consulta predefinidos ou a pesquisa personalizada para aplicar filtros a fim de criar sua consulta. Saiba como gerenciar o Cloud Security Explorer.
Verificações de vulnerabilidade do Microsoft Defender para contêineres de execução de imagens do Linux agora em GA
O Microsoft Defender para contêineres detecta vulnerabilidades na execução de contêineres. Contêineres do Windows e do Linux são compatíveis.
Em agosto de 2022, essa funcionalidade foi lançada em versão prévia para Windows e Linux. Agora estamos lançando-o para disponibilidade geral (GA) para o Linux.
Quando as vulnerabilidades são detectadas, o Defender para Nuvem gera a recomendação de segurança a seguir, listando os problemas detectados: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como exibir vulnerabilidades para execução de imagens.
Anunciando suporte para o padrão de conformidade AWS CIS 1.5.0
O Defender para Nuvem agora dá suporte ao padrão de conformidade do CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes do MDC para recomendações e padrões multinuvem.
Esse novo padrão inclui recomendações existentes e novas que estendem a cobertura do Defender para Nuvem para novos serviços e recursos da AWS.
Saiba como Gerenciar avaliações e padrões da AWS.
O Microsoft Defender para DevOps (versão prévia) agora está disponível em outras regiões
O Microsoft Defender para DevOps expandiu sua versão prévia e agora está disponível nas regiões Oeste da Europa e Leste da Austrália, quando você integra seus recursos do Azure DevOps e do GitHub.
Saiba mais sobre o Microsoft Defender para DevOps.
A política interna [Versão prévia]: O ponto de extremidade privado deve ser configurado para o Key Vault foi preterida
A política interna [Preview]: Private endpoint should be configured for Key Vault foi preterida e substituída pela política [Preview]: Azure Key Vaults should use private link.
Saiba mais sobre como integrar o Azure Key Vault ao Azure Policy.
Janeiro de 2023
As atualizações em janeiro incluem:
- O componente da Proteção de Ponto de Extremidade (Microsoft Defender para Ponto de Extremidade) agora é acessado na página Configurações e monitoramento
- Nova versão da recomendação para localizar as atualizações do sistema ausentes (Versão prévia)
- Limpeza dos computadores excluídos do Azure Arc nas contas AWS e GCP conectadas
- Permitir exportação contínua para os Hubs de Eventos protegidos por um firewall
- O nome do controle de classificação de segurança Proteger os aplicativos com soluções de rede avançadas do Azure foi alterado
- A política As configurações de Avaliação de Vulnerabilidade do SQL Server devem conter um endereço de email para receber os relatórios de exame foi preterida
- A recomendação para habilitar logs de diagnóstico para os Conjuntos de Dimensionamento de Máquinas Virtuais foi preterida
O componente da Proteção de Ponto de Extremidade (Microsoft Defender para Ponto de Extremidade) agora é acessado na página Configurações e monitoramento
Para acessar o Endpoint Protection, navegue até configurações de ambiente Configurações>> doDefender. A partir daqui, você pode definir a proteção do Ponto de Extremidade como Ativada. Você também pode ver os outros componentes gerenciados.
Saiba mais sobre como habilitar Microsoft Defender para Ponto de Extremidade nos seus servidores com o Defender para Servidores.
Nova versão da recomendação para localizar as atualizações do sistema ausentes (Versão prévia)
Não é mais necessário ter um agente nas VMs do Azure e nos computadores do Azure Arc para garantir que os computadores tenham todas as atualizações críticas ou de segurança mais recentes do sistema.
A nova recomendação de atualizações do sistema, System updates should be installed on your machines (powered by Azure Update Manager) no controle Apply system updates, baseia-se no Centro de gerenciamento de atualizações (versão prévia). A recomendação depende de um agente nativo inserido em todos os computadores de VM do Azure e do Azure Arc, em vez de um agente instalado. A Correção Rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.
Para usar a nova recomendação, é necessário:
- Conecte os computadores não Azure ao Arc
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
A recomendação existente "As atualizações do sistema devem ser instaladas nos computadores", que depende do agente do Log Analytics, ainda está disponível sob o mesmo controle.
Limpeza dos computadores excluídos do Azure Arc nas contas AWS e GCP conectadas
Um computador conectado a uma conta AWS e GCP contemplada pelo Defender para Servidores ou pelo Defender para SQL nos computadores é representado no Defender para Nuvem como um computador do Azure Arc. Até agora, esse computador não foi excluído do inventário, quando o computador foi excluído da conta AWS ou GCP. Levando a recursos desnecessários do Azure Arc deixados no Defender para Nuvem, que representam computadores excluídos.
O Defender para Nuvem agora excluirá automaticamente os computadores do Azure Arc, quando esses computadores forem excluídos na conta AWS ou GCP conectada.
Permitir exportação contínua para os Hubs de Eventos protegidos por um firewall
Agora você pode habilitar a exportação contínua de alertas e recomendações, como um serviço confiável para os Hubs de Eventos protegidos por um firewall do Azure.
Você pode habilitar a exportação contínua, à medida que as recomendações ou os alertas são gerados. Você também pode definir um agendamento para enviar instantâneos periódicos de todos os novos dados.
Saiba como habilitar a exportação contínua para os Hubs de Eventos protegidos por um firewall do Azure.
O nome do controle de classificação de segurança Proteger os aplicativos com soluções de rede avançadas do Azure foi alterado
O controle de pontuação de segurança, Protect your applications with Azure advanced networking solutions foi alterado para Protect applications against DDoS attacks.
O nome atualizado é refletido no ARG (Azure Resource Graph), na API de Controles de Classificação de Segurança e no Download CSV report.
A política As configurações de Avaliação de Vulnerabilidade do SQL Server devem conter um endereço de email para receber os relatórios de exame foi preterida
A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.
O relatório de email de avaliação de vulnerabilidades do Defender para SQL ainda está disponível e as configurações de email existentes não foram alteradas.
A recomendação para habilitar logs de diagnóstico para os Conjuntos de Dimensionamento de Máquinas Virtuais foi preterida
A recomendação Diagnostic logs in Virtual Machine Scale Sets should be enabled foi preterida.
A definição de política relacionada também foi preterida de todos os padrões exibidos no painel de conformidade regulatória.
| Recommendation | Description | Severity |
|---|---|---|
| Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados | Habilite os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou quando a rede é comprometida. | Low |
Dezembro de 2022
As atualizações de dezembro incluem:
Anunciar a configuração expressa para avaliação de vulnerabilidade no Defender para SQL
A configuração expressa para avaliação de vulnerabilidade no Microsoft Defender para SQL fornece às equipes de segurança uma experiência de configuração simplificada em bancos de dados SQL do Azure e pools de SQL dedicados fora dos workspaces do Synapse.
Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:
- Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
- Adicione imediatamente os resultados da verificação às linhas de base para que o status da localização mude de Não íntegro para íntegro sem examinar novamente um banco de dados.
- Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
- Habilite a avaliação de vulnerabilidade para todos os servidores SQL do Azure ao ativar o Microsoft Defender para bancos de dados no nível da assinatura.
Saiba mais sobre Avaliação de vulnerabilidade do Defender para SQL.
Novembro de 2022
As atualizações de novembro incluem:
- Proteger contêineres em toda a organização do GCP com o Microsoft Defender para Contêineres
- Validar proteções do Defender para Contêineres com alertas de exemplo
- Regras de governança em escala (versão prévia)
- A capacidade de criar avaliações personalizadas na AWS e no GCP (Versão prévia) foi preterida
- A recomendação para configurar filas de mensagens mortas para funções Lambda foi preterida
Proteger contêineres em toda a organização do GCP com o Microsoft Defender para Contêineres
Agora você pode habilitar o Defender para Contêineres para seu ambiente do GCP para proteger clusters GKE padrão em toda uma organização do GCP. Basta criar um conector do GCP com o Microsoft Defender para Contêineres habilitado ou habilitar o Microsoft Defender para Contêineres em um conector do GCP existente em nível de organização.
Saiba mais sobre como conectar projetos e organizações do GCP ao Defender para Nuvem.
Validar proteções do Defender para Contêineres com alertas de exemplo
Agora você pode criar alertas de exemplo também para o plano do Defender para Contêineres. Os novos alertas de exemplo são apresentados como sendo do AKS, clusters conectados ao Arc, recursos EKS e GKE com diferentes severidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alerta de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.
Saiba mais sobre a validação de alerta.
Regras de governança em escala (versão prévia)
Estamos felizes em anunciar a nova capacidade de aplicar regras de governança em escala (versão prévia) no Defender para Nuvem.
Com essa nova experiência, as equipes de segurança podem definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipes de segurança podem realizar essa tarefa usando escopos de gerenciamento, como grupos de gerenciamento do Azure, contas de nível superior AWS ou organizações GCP.
Além disso, a página Regras de governança (versão prévia) apresenta todas as regras de governança disponíveis que são efetivas nos ambientes da organização.
Saiba mais sobre as novas regras de governança em escala.
Note
A partir de 1º de janeiro de 2023, para experimentar os recursos oferecidos pela Governança, você precisa ter o plano de GPSN do Defender habilitado em sua assinatura ou conector.
A capacidade de criar avaliações personalizadas na AWS e no GCP (Versão prévia) foi preterida
A capacidade de criar avaliações personalizadas para contas do AWS e projetos GCP, que era um recurso de versão prévia, foi preterida.
A recomendação para configurar filas de mensagens mortas para funções Lambda foi preterida
A recomendação Lambda functions should have a dead-letter queue configured foi preterida.
| Recommendation | Description | Severity |
|---|---|---|
| As funções Lambda devem ter uma fila de mensagens mortas configurada | Esse controle verifica se uma função Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar a função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas atua da mesma forma que um destino em caso de falha. É usada quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você veja erros ou solicitações com falha para que a função Lambda depure ou identifique comportamentos incomuns. Do ponto de vista de segurança, é importante entender por que a função falhou e garantir que a função não remova dados nem comprometa a segurança dos dados consequentemente. Por exemplo, se a função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de DoS (Negação de Serviço) em outro lugar na rede. | Medium |
Outubro de 2022
As atualizações de outubro incluem:
- Anúncio do Microsoft Cloud Security Benchmark
- Análise de caminho de ataque e recursos de segurança contextual no Defender para Nuvem (versão prévia)
- Verificação sem agente para computadores do Azure e do AWS (versão prévia)
- Defender para DevOps (versão prévia)
- O Painel de Conformidade Regulatória agora dá suporte a gerenciamento de controle manual e informações detalhadas no status de conformidade da Microsoft
- O provisionamento automático foi renomeado para Configurações e monitoramento e tem uma experiência atualizada
- CSPM (Gerenciamento de Postura e Segurança na Nuvem) do Defender (versão prévia)
- O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
- O Defender para Contêineres agora dá suporte à verificação de vulnerabilidade para o Registro de Contêiner Elástico (versão prévia)
Anúncio do Microsoft Cloud Security Benchmark
O MCSB (Microsoft Cloud Security Benchmark) é uma nova estrutura que define princípios fundamentais de segurança da nuvem com base em padrões comuns da indústria e em estruturas de conformidade. Junto com diretrizes técnicas detalhadas para implementar essas melhores práticas entre plataformas de nuvem. O MCSB está substituindo o Azure Security Benchmark. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independentes da nuvem em várias plataformas de serviço de nuvem, abrangendo inicialmente o Azure e o AWS.
Agora você pode monitorar sua postura de conformidade de segurança na nuvem em cada nuvem em um único painel integrado. Você pode ver o MCSB como o padrão de conformidade padrão quando navega até o painel de conformidade regulatória do Defender para Nuvem.
O Microsoft Cloud Security Benchmark é atribuído automaticamente às suas assinaturas do Azure e às contas do AWS quando você integra o Microsoft Defender para Nuvem.
Saiba mais sobre o Microsoft Cloud Security Benchmark.
Análise de caminho de ataque e recursos de segurança contextual no Defender para Nuvem (versão prévia)
O novo Grafo de segurança da nuvem, a Análise do caminho de ataque e recursos de segurança de nuvem contextual já estão disponíveis no Microsoft Defender para Nuvem em versão prévia.
Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que encontram diariamente. Há inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolver todos eles.
Os novos recursos de análise de caminho de ataque e do grafo de segurança de nuvem do Defender para Nuvem oferecem às equipes de segurança a capacidade de avaliar o risco por trás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisarão ser resolvidos em breve. O Defender para Nuvem trabalha com equipes de segurança para reduzir o risco de uma violação impactante no seu ambiente da maneira mais eficaz.
Saiba mais sobre o novo Grafo de Segurança da Nuvem, Análise do caminho de ataque e Cloud Security Explorer.
Verificação sem agente para computadores do Azure e do AWS (versão prévia)
Até agora, o Defender para Nuvem baseou suas avaliações de postura de VMs em soluções baseadas em agente. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs em modo de versão prévia.
Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre CVEs de software e produtos de software instalados. Você obtém a visibilidade sem os desafios de instalação e manutenção do agente, requisitos de conectividade de rede e desempenho afetado nas suas cargas de trabalho. A análise é alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender.
O exame de vulnerabilidade sem agente está disponível tanto no CSPM (Gerenciamento da Postura de Segurança na Nuvem) do Defender quanto no Defender para servidores P2, com suporte nativo para VMs da AWS e do Azure.
- Saiba mais sobre a verificação sem agente.
- Descubra como habilitar a avaliação de vulnerabilidade sem agente.
Defender para DevOps (versão prévia)
O Microsoft Defender para Nuvem habilita a visibilidade abrangente, o gerenciamento de postura e a proteção contra ameaças em ambientes híbridos e multinuvem, incluindo os recursos do Azure, AWS, Google e locais.
Agora, o novo plano Defender para DevOps integra sistemas de gerenciamento de código-fonte, como o GitHub e o Azure DevOps, ao Defender para Nuvem. Com essa nova integração, estamos capacitando as equipes de segurança a proteger seus recursos do código até a nuvem.
O Defender para DevOps permite que você tenha visibilidade e gerencie ambientes de desenvolvedor conectados e recursos de código. Atualmente, você pode conectar os sistemas Azure DevOps e GitHub ao Defender para Nuvem e integrar repositórios de DevOps ao Inventário e à nova página de Segurança do DevOps. Isso fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem dentro deles em uma página unificada de Segurança de DevOps.
Você pode configurar anotações em solicitações de pull para ajudar os desenvolvedores a lidar com descobertas de verificação de segredos no Azure DevOps diretamente em suas solicitações de pull.
Você pode configurar as ferramentas de DevOps de Segurança da Microsoft em Pipelines do Azure e fluxos de trabalho do GitHub para habilitar as seguintes verificações de segurança:
| Name | Linguagem | License |
|---|---|---|
| Bandit | Python | Licença do Apache 2.0 |
| BinSkim | Binário – Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| CredScan (somente Azure DevOps) | O Verificador de Credenciais (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida pela Microsoft para identificar vazamentos de credenciais, como aqueles nos tipos comuns de código-fonte e arquivos de configuração: senhas padrão, cadeias de conexão SQL, Certificados com chaves privadas | Sem código aberto |
| Análise de Modelo | Modelo do ARM, arquivo Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licença do Apache 2.0 |
| Trivy | Imagens de contêiner, sistemas de arquivos, repositórios git | Licença do Apache 2.0 |
As novas recomendações abaixo agora estão disponíveis para o DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Versão prévia) As conclusões da verificação de código dos repositórios de código devem ser resolvidas | O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) | Medium |
| (Versão prévia) As conclusões de verificação de segredo dos repositórios de código devem ser resolvidas | O Defender para DevOps encontrou um segredo nos repositórios de código. Isso deve ser corrigido imediatamente para evitar uma violação de segurança. Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para o Azure DevOps, a ferramenta CredScan do Microsoft Security DevOps verifica apenas builds nos quais ela foi configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios. (Não há política relacionada) | High |
| (Versão prévia) As conclusões de verificação do Dependabot dos repositórios de código devem ser resolvidas | O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) | Medium |
| (Versão prévia) As conclusões de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas | (Versão prévia) As descobertas de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas | Medium |
| (Versão prévia) A verificação de código deve ser habilitada nos repositórios do GitHub | O GitHub usa a verificação de código para analisar o código para encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código localiza uma possível vulnerabilidade ou um possível erro no código, o GitHub mostra um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto. (Não há política relacionada) | Medium |
| (Versão prévia) A verificação de segredos deve ser habilitada nos repositórios do GitHub | O GitHub examina repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram confirmados acidentalmente. A verificação de segredos examina automaticamente todo o histórico do Git em todos os branches presentes no seu repositório do GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Não há política relacionada) | High |
| (Versão prévia) A verificação do Dependabot deve ser habilitada nos repositórios do GitHub | O GitHub envia alertas do Dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Não há política relacionada) | Medium |
As recomendações do Defender para DevOps substituíram o exame de vulnerabilidade preterido para fluxos de trabalho de CI/CD incluído no Defender para contêineres.
Saiba mais sobre o Defender para DevOps
O painel de Conformidade Regulatória agora dá suporte a gerenciamento de controle manual e informações detalhadas no status de conformidade da Microsoft
O painel de conformidade no Defender para Nuvem é uma ferramenta fundamental para que os clientes entendam e acompanhem seu status de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de vários padrões e regulamentos diferentes.
Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e os outros. Você pode fornecer provas de conformidade para controles que não são automatizados. Junto com as avaliações automatizadas, agora você pode gerar um relatório completo de conformidade dentro de um escopo selecionado, abordando todo o conjunto de controles de determinado padrão.
Além disso, com informações de controle mais avançada, detalhes minuciosos e provas do status de conformidade da Microsoft, agora você tem todas as informações necessárias para auditoria ao seu alcance.
Alguns novos benefícios incluem:
Ações de cliente manuais fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Inclusive a capacidade de vincular provas, definir uma data de conformidade e uma data de validade.
Detalhes de controle mais avançados para padrões com suporte que mostram ações da Microsoft e ações manuais do cliente , além das ações já existentes do cliente automatizado.
As ações da Microsoft fornecem transparência sobre o status de conformidade da Microsoft, que inclui procedimentos de avaliação de auditoria, resultados de teste e respostas da Microsoft a desvios.
As ofertas de conformidade fornecem um local central para verificar os produtos do Azure, do Dynamics 365 e do Power Platform e suas respectivas certificações de conformidade regulatória.
Saiba mais sobre como Melhorar a conformidade regulatória com o Defender para Nuvem.
O provisionamento automático foi renomeado para Configurações e monitoramento e tem uma experiência atualizada
Renomeamos a página Autoprovisionamento para Configurações e monitoramento.
O provisionamento automático destinava-se a permitir a habilitação em escala de pré-requisitos, que são exigidos pelas funcionalidades e pelos recursos avançados do Defender para Nuvem. Para oferecer melhor suporte às nossas funcionalidades expandidas, estamos lançando uma nova experiência com as seguintes alterações:
A página de planos do Defender para Nuvem agora inclui:
- Quando você habilita um plano do Defender que requer componentes de monitoramento, esses componentes são habilitados para provisionamento automático com configurações padrão. Essas configurações podem ser editadas a qualquer momento.
- Você pode acessar as configurações de componente de monitoramento para cada plano do Defender na página de planos do Defender.
- A página de planos do Defender indica claramente se todos os componentes de monitoramento estão presentes em cada plano do Defender ou se a cobertura de monitoramento está incompleta.
A página Configurações e monitoramento:
- Cada componente de monitoramento indica os planos do Defender aos quais ele está relacionado.
Saiba mais sobre como gerenciar suas configurações de monitoramento.
CSPM (Gerenciamento de Postura e Segurança na Nuvem) do Defender
Um dos principais pilares do Microsoft Defender para a segurança na nuvem é o CSPM (Gerenciamento da Postura de Segurança na Nuvem). O GPSN fornece diretrizes de proteção que ajudam você a melhorar a segurança de forma eficiente e eficaz. O GPSN também oferece visibilidade sobre a situação de segurança atual.
Estamos anunciando um novo plano do Defender: o GPSN do Defender. O CSPM (Gerenciamento da Postura de Segurança na Nuvem) do Defender aprimora os recursos de segurança do Defender para Nuvem e inclui os seguintes recursos novos e expandidos:
- Avaliação contínua da configuração de segurança de seus recursos de nuvem
- Recomendações de segurança para corrigir configurações incorretas e fraquezas
- Classificação de segurança
- Governance
- Conformidade normativa
- Grafo de segurança da nuvem
- Análise do caminho de ataque
- Verificação sem agente para computadores
Saiba mais sobre o plano GPSN do Defender.
O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas com eficiência.
O Defender para Nuvem facilita a priorização mapeando as recomendações de segurança do Azure, AWS e GCP em relação à estrutura MITRE ATT&CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.
A estrutura MITRE ATT&CK é integrada de três maneiras:
- As recomendações mapeiam as táticas e técnicas do MITRE ATT&CK.
- Consulte táticas e técnicas do MITRE ATT&CK em recomendações usando o Azure Resource Graph.
O Defender para Contêineres agora dá suporte à verificação de vulnerabilidade para o Registro de Contêiner Elástico (versão prévia)
O Microsoft Defender para Contêineres agora fornece verificação de avaliação de vulnerabilidade sem agente para o ECR (Registro de Contêiner Elástico) no Amazon AWS. Expandindo a cobertura para ambientes de várias nuvens, com base no lançamento no início deste ano da proteção avançada contra ameaças e do fortalecimento do ambiente do Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos do AWS em suas contas para verificar as imagens sem extrair imagens de suas contas do AWS e sem nenhum volume na carga de trabalho.
A verificação de avaliação de vulnerabilidades sem agente em busca de imagens em repositórios do ECR ajuda a reduzir a superfície de ataque de sua propriedade conteinerizada examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêiner. Com essa nova versão, o Defender para Nuvem verifica as imagens de contêiner depois que elas são enviadas por push para o repositório e reavaliam continuamente as imagens de contêiner do ECR no registro. As descobertas ficam disponíveis no Microsoft Defender para Cloud como recomendações e você pode usar os fluxos de trabalho automatizados internos do Defender para Nuvem a fim de tomar medidas em relação às descobertas, como abrir um tíquete para corrigir uma vulnerabilidade de alta gravidade em uma imagem.
Saiba mais sobre avaliação de vulnerabilidade para imagens do ECR da Amazon.
Setembro de 2022
As atualizações de setembro incluem:
- Suprimir alertas com base em entidades de contêiner e do Kubernetes
- O Defender para Servidores dá suporte ao Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor
- Substituição de APIs de avaliação herdada
- Recomendações extras adicionadas à identidade
- Remoção de alertas de segurança para computadores que estão relatando a workspaces do Log Analytics entre locatários
Suprimir alertas com base em entidades de contêiner e do Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Segredo do Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Trabalho do Kubernetes
- Kubernetes CronJob
Saiba mais sobre as regras de supressão de alertas.
O Defender para Servidores dá suporte ao Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor
O FIM (monitoramento de integridade de arquivo) examina Registros e arquivos de sistemas operacionais para encontrar alterações que possam indicar um ataque.
O FIM agora está disponível em uma nova versão com base no AMA (Agente do Azure Monitor), que você pode implantar por meio do Defender para Nuvem.
Substituição de APIs de avaliação herdada
As seguintes APIs foram preteridas:
- Tarefas de segurança
- Status de segurança
- Resumos de segurança
Essas três APIs expuseram formatos antigos de avaliações e são substituídas pelas APIs de Avaliações e APIs de SubAssessments. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.
Recomendações extras adicionadas à identidade
Recomendações do Defender para Nuvem para aprimorar o gerenciamento de usuários e contas.
Novas recomendações
A nova versão contém as seguintes funcionalidades:
Escopo de avaliação estendido – A cobertura foi aprimorada para contas de identidade sem MFA e contas externas nos recursos do Azure (em vez de apenas assinaturas), o que permite que os administradores de segurança vejam as atribuições de função por conta.
Intervalo de atualização aprimorado – as recomendações de identidade têm um intervalo de atualização de 12 horas.
Funcionalidade de isenção da conta – o Defender para Nuvem tem muitos recursos que podem ser usados para personalizar a experiência e garantir que a classificação de segurança reflita as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações da classificação de segurança.
Essa atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.
Normalmente, você isentaria contas de emergência das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso e que não têm a MFA habilitada.
Tip
Quando você isenta uma conta, ela não é mostrada como não íntegra. Isso também não faz com que uma assinatura pareça não íntegra.
Recommendation Chave de avaliação Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA 6240402e-f77c-46fa-9060-a7ce53997754 Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
As recomendações, embora em versão prévia, aparecerão ao lado das recomendações que estão atualmente em GA.
Remoção de alertas de segurança para computadores que estão relatando a workspaces do Log Analytics entre locatários
No passado, o Defender para Nuvem permitia que você escolhesse o workspace ao qual os agentes do Log Analytics relatam. Quando um computador pertencia a um locatário (Locatário A), mas seu agente do Log Analytics se reportava a um workspace em um locatário diferente ("Locatário B"), os alertas de segurança sobre o computador eram relatados ao primeiro locatário (Locatário A).
Com essa alteração, os alertas em computadores conectados ao workspace do Log Analytics em um locatário diferente não aparecem mais no Defender para Nuvem.
Se você quiser continuar recebendo os alertas no Defender para Nuvem, conecte o agente do Log Analytics dos computadores relevantes ao workspace no mesmo locatário que o computador.
Saiba mais sobre alertas de segurança.
Agosto de 2022
As atualizações de agosto incluem:
- As vulnerabilidades para executar imagens agora estão visíveis com o Microsoft Defender para contêineres em seus contêineres do Windows
- Integração do Agente do Azure Monitor agora em versão prévia
- Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster do Kubernetes
As vulnerabilidades para executar imagens agora estão visíveis com o Microsoft Defender para contêineres em seus contêineres do Windows
O Microsoft Defender para contêineres agora mostra vulnerabilidades para execução de contêineres do Windows.
Quando as vulnerabilidades são detectadas, o Defender para Nuvem gera a recomendação de segurança a seguir,listando os problemas detectados: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como exibir vulnerabilidades para execução de imagens.
Integração do Agente do Azure Monitor agora em versão prévia
O Defender para Nuvem agora inclui suporte de versão prévia para o AMA (Agente do Azure Monitor). A AMA destina-se a substituir o agente herdado do Log Analytics (também conhecido como MMA – Microsoft Monitoring Agent), que está em um caminho para a substituição. O AMA oferece muitas vantagens em relação a agentes herdados.
No Defender para Nuvem, quando você habilita o provisionamento automático para AMA, o agente é implantado em VMs existentes e novas e computadores habilitados para o Azure Arc detectados em suas assinaturas. Se os planos do Defender para Nuvem estiverem habilitados, a AMA coletará informações de configuração e logs de eventos de VMs do Azure e computadores Azure Arc. A integração do AMA está na versão prévia, portanto, recomendamos usá-la em ambientes de teste em vez de em ambientes de produção.
Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster do Kubernetes
A seguinte tabela lista os alertas que foram preteridos:
| Nome do alerta | Description | Tactics | Severity |
|---|---|---|---|
|
Operação de build do Docker detectada em um nó do Kubernetes (VM_ImageBuildOnNode) |
Os logs de computador indicam uma operação de build de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção. | Evasão de defesa | Low |
|
Solicitação suspeita para API do Kubernetes (VM_KubernetesAPI) |
Os logs do computador indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido. | LateralMovement | Medium |
|
O servidor SSH está em execução dentro de um contêiner (VM_ContainerSSH) |
Os logs do computador indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora o comportamento possa ser intencional, com frequência indica que um contêiner está configurado incorretamente ou foi violado. | Execution | Medium |
Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas de contêiner do Microsoft Defender para Nuvem (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPIeK8S.NODE_ ContainerSSH), que fornecerão maior fidelidade e um contexto abrangente para investigar e agir com base nos alertas. Saiba mais sobre alertas para clusters do Kubernetes.
As vulnerabilidades do contêiner agora incluem informações detalhadas do pacote
A VA (avaliação de vulnerabilidades) do Defender para Contêiner agora inclui informações detalhadas do pacote para cada conclusão, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão fixa. As informações do pacote permitem encontrar pacotes vulneráveis para corrigir a vulnerabilidade ou remover o pacote.
Essas informações detalhadas do pacote estão disponíveis para novas verificações de imagens.
Julho de 2022
As atualizações de julho incluem:
- GA (disponibilidade geral) do agente de segurança nativo de Nuvem para proteção de runtime do Kubernetes
- A VA do Defender para Contêiner adiciona suporte para a detecção de pacotes específicos do idioma (versão prévia)
- Proteger contra a vulnerabilidade do Microsoft Operations Management Infrastructure CVE-2022-29149
- Integração com o Gerenciamento de Permissões do Entra
- Recomendações do Key Vault alteradas para "auditoria"
- Preterir políticas de aplicativo de API para o Serviço de Aplicativo
GA (disponibilidade geral) do agente de segurança nativo de nuvem para proteção de runtime do Kubernetes
Estamos felizes em compartilhar que o agente de segurança nativo de nuvem para proteção de runtime do Kubernetes já está em GA (disponibilidade geral).
As implantações de produção dos clusters do Kubernetes continuam aumentando, à medida que os clientes continuam a conteinerização dos aplicativos. Para auxiliar nesse crescimento, a equipe do Defender para Contêineres desenvolveu um agente de segurança orientado para Kubernetes nativo de nuvem.
O novo agente de segurança é um DaemonSet do Kubernetes, baseado na tecnologia eBPF e totalmente integrado aos clusters do AKS como parte do Perfil de Segurança do AKS.
A habilitação do agente de segurança está disponível por meio de provisionamento automático, fluxo de recomendações, RP do AKS ou em escala usando o Azure Policy.
Você pode implantar o agente do Defender hoje mesmo nos clusters do AKS.
Com este anúncio, a proteção de runtime – detecção de ameaças (carga de trabalho) também já está em disponibilidade geral.
Saiba mais sobre a disponibilidade de recursos do Defender para Contêiner.
Você também pode examinar todos os alertas disponíveis.
Observe que, se você estiver usando a versão prévia, o sinalizador de recursos AKS-AzureDefender não será mais necessário.
A VA do Defender para Contêiner adiciona suporte para a detecção de pacotes específicos do idioma (versão prévia)
A VA (avaliação de vulnerabilidade) do Defender para Contêiner é capaz de detectar vulnerabilidades em pacotes do sistema operacional implantados por meio do gerenciador de pacotes do sistema operacional. Agora, estendemos as habilidades da VA para detectar vulnerabilidades incluídas em pacotes específicos do idioma.
Esse recurso está em versão prévia e só está disponível para imagens do Linux.
Para ver todos os pacotes específicos do idioma incluído que foram adicionados, confira a lista completa de recursos e sua disponibilidade do Defender para Contêiner.
Proteger contra a vulnerabilidade do Microsoft Operations Management Infrastructure CVE-2022-29149
O OMI (Microsoft Operations Management Infrastructure) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e na nuvem a partir de um único local. Em vez de implantar e gerenciar recursos locais, os componentes do OMI estão totalmente hospedados no Azure.
O Log Analytics integrado ao Azure HDInsight que executa o OMI versão 13 requer um patch para corrigir o CVE-2022-29149. Examine o relatório sobre essa vulnerabilidade no guia de Atualização de Segurança da Microsoft para obter informações sobre como identificar os recursos afetados por essas etapas de vulnerabilidade e correção.
Se você tiver o Defender para Servidores habilitado com a Avaliação de Vulnerabilidades, poderá usar essa pasta de trabalho para identificar os recursos afetados.
Integração com o Gerenciamento de Permissões do Entra
O Defender para Nuvem integrou-se ao Gerenciamento de Permissões do Microsoft Entra, uma solução CIEM (gerenciamento de direitos de infraestrutura de nuvem) que fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso no Azure, AWS e GCP.
Cada assinatura do Azure, a conta do AWS e o projeto do GCP que você integrou agora mostrarão uma exibição do PCI (Índice de fluência de permissão).
Saiba mais sobre o Gerenciamento de Permissões do Entra (anteriormente Cloudknox)
Recomendações do Key Vault alteradas para "auditoria"
O efeito das recomendações do Key Vault listadas aqui foi alterado para “auditoria”:
| Nome da recomendação | ID da recomendação |
|---|---|
| O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Os segredos do Key Vault devem ter uma data de validade | 14257785-9437-97fa-11ae-898cfb24302b |
| As chaves do Key Vault devem ter uma data de validade | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Preterir políticas de aplicativo de API para o Serviço de Aplicativo
Preterimos as seguintes políticas às políticas correspondentes que já existem para incluir aplicativos de API:
| A ser preterida | Alterando para |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Junho de 2022
As atualizações de junho incluem:
- GA (disponibilidade geral) para o Microsoft Defender para Azure Cosmos DB
- GA (disponibilidade geral) do Defender para SQL em computadores para ambientes AWS e GCP
- Impulsionar a implementação de recomendações de segurança para aprimorar sua postura de segurança
- Filtrar alertas de segurança por endereço IP
- Alertas por grupo de recursos
- Solução unificada de provisionamento automático do Microsoft Defender para Ponto de Extremidade
- A política "O aplicativo de API só deve estar acessível por HTTPS" foi preterida
- Novos alertas do Key Vault
GA (disponibilidade geral) para o Microsoft Defender para Azure Cosmos DB
O Microsoft Defender para Azure Cosmos DB agora está em GA (disponibilidade geral) e dá suporte a tipos de conta de API do SQL (Core).
Esta nova versão para GA faz parte do conjunto de proteção de banco de dados Microsoft Defender para Nuvem, que inclui diferentes tipos de bancos de dados SQL e MariaDB. O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB.
Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, atores mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações do banco de dados por meio de identidades comprometidas ou pessoas mal-intencionadas.
Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas fornecem detalhes sobre atividades suspeitas, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.
O Microsoft Defender para Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços do Azure Cosmos DB e faz o cruzamento deles com o Microsoft Threat Intelligence e modelos comportamentais para detectar atividades suspeitas. O Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito sobre o desempenho do seu banco de dados.
Saiba mais sobre o Microsoft Defender para Azure Cosmos DB.
Com a adição de suporte para o Azure Cosmos DB, o Defender para Nuvem agora fornece uma das ofertas mais abrangentes de proteção de cargas de trabalho para bancos de dados baseados em nuvem. As equipes de segurança e os proprietários de banco de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados dos ambientes deles.
Saiba como habilitar proteções para seus bancos de dados.
GA (disponibilidade geral) do Defender para SQL em computadores para ambientes AWS e GCP
Os recursos de proteção de banco de dados fornecidos pelo Microsoft Defender para Nuvem adicionaram suporte para seus servidores SQL hospedados em ambientes AWS ou GCP.
Agora, usando o Defender para SQL, as empresas podem proteger todo o próprio acervo de bancos de dados, hospedado no Azure, no AWS, no GCP e em computadores locais.
O Microsoft Defender para SQL fornece uma experiência multinuvem unificada para exibir recomendações de segurança, alertas de segurança e resultados de avaliação de vulnerabilidade tanto para o servidor SQL quanto para o sistema operacional Windows subjacente.
Usando a experiência de integração de várias nuvens, você pode habilitar e impor a proteção de bancos de dados para servidores SQL em execução no AWS EC2, RDS personalizado para SQL Server e mecanismo de computação GCP. Após você habilitar qualquer um desses planos, todos os recursos compatíveis existentes na assinatura são protegidos. Recursos futuros criados na mesma assinatura também serão protegidos.
Saiba como proteger e conectar seu ambiente AWS e sua organização GCP com o Microsoft Defender para Nuvem.
Impulsionar a implementação de recomendações de segurança para aprimorar sua postura de segurança
As ameaças crescentes de hoje às organizações desafiam os limites da equipe de segurança para proteger as próprias cargas de trabalho em expansão. As equipes de segurança são desafiadas a implementar as proteções definidas nas próprias políticas de segurança.
Agora, com a experiência de governança em versão prévia, as equipes de segurança podem atribuir a correção de recomendações de segurança aos proprietários de recursos e exigir um agendamento de correção. Eles podem ter total transparência sobre o andamento da correção e ser notificados quando as tarefas estão atrasadas.
Saiba mais sobre a experiência de governança em Estimular a sua organização a corrigir problemas de segurança com governança de recomendações.
Filtrar alertas de segurança por endereço IP
Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção “Entidades Relacionadas” no painel de alerta único. Agora, você pode filtrar os alertas no painel de alertas de segurança para ver os alertas relacionados ao endereço IP e pesquisar um endereço IP específico.
Alertas por grupo de recursos
A capacidade de filtrar, classificar e agrupar por grupo de recursos foi adicionada à página Alertas de segurança.
Uma coluna de grupo de recursos foi adicionada à grade de alertas.
Foi adicionado um novo filtro que permite exibir todos os alertas para grupos de recursos específicos.
Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas para cada um dos seus grupos de recursos.
Solução unificada de provisionamento automático do Microsoft Defender para Ponto de Extremidade
Até agora, a integração com o MDE (Microsoft Defender para Ponto de Extremidade) incluía a instalação automática da nova solução unificada do MDE para computadores (assinaturas do Azure e conectores multinuvem) com o Plano 1 do Defender para Servidores habilitado e para conectores multinuvem com o Plano 2 do Defender para Servidores habilitado. O plano 2 para assinaturas do Azure habilitou a solução unificada apenas para computadores Linux e servidores Windows 2019 e 2022. Servidores Windows 2012 R2 e 2016 usaram a solução herdada do MDE dependente do agente do Log Analytics.
Agora, a nova solução unificada está disponível para todos os computadores em ambos os planos, tanto para assinaturas do Azure quanto para conectores multinuvem. Para assinaturas do Azure com o Plano 2 de Servidores que habilitaram a integração do MDE após 20 de junho de 2022, a solução unificada é habilitada por padrão para todas as assinaturas do Azure de computadores com o Plano 2 do Defender para Servidores habilitado com a integração do MDE antes de 20 de junho de 2022 pode habilitar a instalação da solução unificada para servidores Windows 2012R2 e 2016 por meio do botão dedicado na página Integrações:
Saiba mais sobre a integração do MDE com o Defender para Servidores.
A política "O aplicativo de API só deve estar acessível por HTTPS" foi preterida
A política API App should only be accessible over HTTPS foi preterida. Essa política foi substituída pela política Web Application should only be accessible over HTTPS, que foi renomeada para App Service apps should only be accessible over HTTPS.
Para saber mais sobre definições de política para o Serviço de Aplicativo do Azure, consulte Definições internas do Azure Policy para o Serviço de Aplicativo do Azure.
Novos alertas do Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Key Vault, adicionamos dois novos alertas.
Esses alertas informam que uma anomalia de acesso negado foi detectada para um dos cofres de chaves.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado (KV_DeniedAccountVolumeAnomaly) |
Um usuário ou entidade de serviço tentou acessar um número anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Discovery | Low |
|
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado (KV_UserAccessDeniedAnomaly) |
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. | Acesso inicial, Descoberta | Low |
Maio de 2022
As atualizações de maio incluem:
- As configurações multinuvem do plano para Servidores agora estão disponíveis em nível de conector
- O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)
- Adicionar e remover o sensor do Defender para clusters do AKS usando a CLI
As configurações multinuvem do plano para Servidores agora estão disponíveis no nível do conector
Agora há configurações em nível de conector para o Defender para Servidores multinuvem.
As novas configurações em nível de conector fornecem granularidade para preços e configuração de provisionamento automático por conector, independentemente da assinatura.
Todos os componentes de provisionamento automático disponíveis em nível de conector (Azure Arc, MDPE e avaliações de vulnerabilidade) são habilitados por padrão, e a nova configuração dá suporte aos tipos de preço Plano 1 e Plano 2.
As atualizações na interface do usuário incluem um reflexo do tipo de preço selecionado e dos componentes necessários configurados.
Alterações na avaliação de vulnerabilidade
Agora, o Defender para Contêineres mostra vulnerabilidades com gravidade de nível médio e baixo que não permitem a aplicação de patches.
Como parte dessa atualização, as vulnerabilidades que tenham gravidades médias e baixas agora são mostradas mesmo que não existam patches disponíveis. Essa atualização fornece visibilidade máxima, mas ainda permite que você filtre vulnerabilidades indesejadas usando a regra Desabilitar fornecida.
Saiba mais sobre o gerenciamento de vulnerabilidades
O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)
Quando você conecta contas do AWS, o JIT avaliará automaticamente a configuração de rede dos grupos de segurança da instância e recomendará quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com o Azure. Quando você integra instâncias EC2 desprotegidas, o JIT bloqueará o acesso público às portas de gerenciamento e só as abrirá com solicitações autorizadas por um período limitado.
Saiba como o JIT protege suas instâncias EC2 do AWS
Adicionar e remover o sensor do Defender para clusters do AKS usando a CLI
O agente do Defender é necessário para que o Defender para Contêineres forneça as proteções de runtime e colete sinais de nós. Agora você pode usar a CLI do Azure para adicionar e remover o agente do Defender para um cluster do AKS.
Note
Essa opção está incluída na CLI do Azure 3.7 e superior.
Abril de 2022
As atualizações de abril incluem:
- Novos planos do Defender para servidores
- Realocação de recomendações personalizadas
- Script do PowerShell para transmitir alertas para Splunk e QRadar
- Preterido a recomendação de Cache do Azure para Redis
- Nova variante de alerta do Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais
- Título do alerta de verificação de contêiner aumentado com reputação de endereço IP
- Confira os logs de atividades relacionados a um alerta de segurança
Novos planos do Defender para servidores
O Microsoft Defender para Servidores agora é oferecido em dois planos incrementais:
- Plano 2 do Defender para Servidores, antigo Defender para Servidores
- Plano 1 do Defender para Servidores, dá suporte apenas ao Microsoft Defender para Ponto de Extremidade
Enquanto o Plano 2 do Defender para Servidores continua a fornecer proteções contra ameaças e vulnerabilidades às cargas de trabalho locais e na nuvem, o Plano 1 do Defender para Servidores oferece somente proteção de ponto de extremidade por meio do Defender para Ponto de Extremidade integrado nativamente. Leia mais sobre os planos do Defender para servidores.
Se você estiver usando o Defender para Servidores até agora, nenhuma ação será necessária.
Além disso, Defender para Nuvem também inicia compatibilidade gradual para o agente unificado do Defender para Ponto de Extremidade para Windows Server 2012 R2 e 2016. O Plano 1 do Defender para Servidores implanta o novo agente unificado em cargas de trabalho de Windows Server 2012 R2 e 2016.
Realocação de recomendações personalizadas
Recomendações personalizadas são aquelas criadas por usuários e que não afetam a classificação de segurança. As recomendações personalizadas agora podem ser encontradas na guia “Todas as recomendações”.
Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.
Saiba mais em Criar iniciativas e políticas de segurança personalizadas.
Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar
Recomendamos usar o Hubs de Eventos e um conector interno para exportar alertas de segurança para Splunk e IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.
Basta baixar e executar o script do PowerShell. Depois que você fornece algumas informações do seu ambiente, o script configura os recursos. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.
Para saber mais, confira os alertas do Stream para Splunk e QRadar.
Preterido a recomendação de Cache do Azure para Redis
A recomendação Azure Cache for Redis should reside within a virtual network (Versão prévia) foi preterida. Alteramos nossas diretrizes para proteger instâncias do Cache do Azure para Redis. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância de Cache do Azure para Redis, em vez de uma rede virtual.
Nova variante de alerta do Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais
Os alertas do Microsoft Defender para Armazenamento notificam quando há tentativas de verificar e expor, com êxito ou não, contêineres de armazenamento abertos publicamente e mal configurados para tentar filtrar informações confidenciais.
Para permitir uma triagem e um tempo de resposta mais rápidos, quando a exfiltração de dados potencialmente confidenciais pode ter ocorrido, lançamos uma nova variação do alerta existente Publicly accessible storage containers have been exposed .
O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é disparado com um nível de severidade High, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles poderiam conter informações confidenciais.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA – Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguém examinou sua conta do Armazenamento do Azure e expôs contêineres que permitem o acesso público. Um ou mais dos contêineres expostos têm nomes que indicam que podem conter dados confidenciais. Isso geralmente indica o reconhecimento por um agente de ameaça que está verificando contêineres de armazenamento acessíveis publicamente configurados que podem conter dados confidenciais. Depois que um agente de ameaça descobre um contêiner com êxito, ele pode continuar exfiltrando os dados. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Título do alerta de verificação de contêiner aumentado com reputação de endereço IP
A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um autor de ameaça conhecido ou de um que está usando a rede Tor para ocultar a identidade. Ambos os indicadores sugerem que há má intenções. A reputação do endereço IP é fornecida pela Inteligência contra Ameaças da Microsoft.
A adição da reputação do endereço IP ao título do alerta oferece uma maneira de avaliar rapidamente a intenção do autor e, portanto, a gravidade da ameaça.
Os seguintes alertas incluirão essas informações:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por exemplo, as informações adicionadas ao título do alerta Publicly accessible storage containers have been exposed serão parecidas com estas:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todos os alertas para o Microsoft Defender para Armazenamento continuarão a incluir informações de inteligência contra ameaças na entidade IP na seção Entidades Relacionadas do alerta.
Confira os logs de atividades relacionados a um alerta de segurança
Como parte das ações que podem ser executadas para avaliar um alerta de segurança, você pode encontrar os logs de plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender para Nuvem identifica os logs de plataforma que estão no prazo de um dia do alerta.
Os logs de plataforma podem ajudar a avaliar a ameaça à segurança e identificar as etapas que você pode executar para atenuar o risco identificado.
Março de 2022
As atualizações de março incluem:
- Disponibilidade global de classificação de segurança para ambientes AWS e GCP
- Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede
- O Defender para contêineres já pode verificar se há vulnerabilidades em imagens do Windows (versão prévia)
- Novo alerta do Microsoft Defender para Armazenamento (versão prévia)
- Definir as configurações de notificações por email de um alerta
- Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas
- Fim da recomendação de usar entidades de serviço para proteger suas assinaturas
- A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
- Substituição das recomendações de dispositivo do Microsoft Defender para IoT
- Substituição dos alertas de dispositivo do Microsoft Defender para IoT
- Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)
- Verificação de registro para imagens de Windows no ACR na compatibilidade adicionada para nuvens nacionais
Disponibilidade global de classificação de segurança para ambientes AWS e GCP
Os recursos de gerenciamento de postura de segurança de nuvem oferecidos pelo Microsoft Defender para Nuvem agora adicionaram compatibilidade para ambientes AWS e GCP na sua Pontuação Segura.
As empresas agora podem exibir a postura de segurança geral em vários ambientes, como Azure, AWS e GCP.
A página Pontuação Segura foi substituída pelo painel Postura de segurança. O painel de postura de segurança permite exibir uma pontuação combinada geral para todos os seus ambientes ou um detalhamento da postura de segurança com base em qualquer combinação de ambientes que você escolher.
A página Recomendações também foi reprojetada para fornecer novos recursos, como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta do AWS, projeto GCP e muito mais), interface do usuário aprimorada em baixa resolução, compatibilidade com consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura de segurança geral e recomendações de segurança.
Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede
As alterações em nosso roteiro e em nossas prioridades removeram a necessidade do agente de coleta de dados de tráfego de rede. As duas recomendações a seguir e as políticas relacionadas serão preteridas.
| Recommendation | Description | Severity |
|---|---|---|
| O agente de coleta de dados do tráfego de rede deve ser instalado nas máquinas virtuais do Linux | O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Medium |
| O agente de coleta dos dados de tráfego de rede deve ser instalado nas máquinas virtuais do Windows | O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças específicas à rede. | Medium |
O Defender para contêineres já pode verificar se há vulnerabilidades em imagens do Windows (versão prévia)
A verificação de imagem do Defender para contêineres já dá suporte às imagens do Windows que estão hospedadas no Registro de Contêiner do Azure. Esse recurso é gratuito durante a versão prévia e gera um custo quando passa para disponibilidade geral.
Saiba mais em Usar o Microsoft Defender para contêineres para verificar se há vulnerabilidades em imagens.
Novo alerta do Microsoft Defender para Armazenamento (versão prévia)
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Armazenamento, adicionamos um novo alerta na versão prévia.
Os atores de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender para Armazenamento detecta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.
Esse alerta da versão prévia é chamado Access from a suspicious application. O alerta só é relevante para o Armazenamento de Blobs do Azure e o ADLS Gen2.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
VERSÃO PRÉVIA: acesso em um endereço IP suspeito (Storage.Blob_SuspiciousApp) |
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização. Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2 |
Acesso Inicial | Medium |
Definir as configurações de notificações por email de um alerta
Uma nova seção foi adicionada à interface do usuário dos alertas, que permite ver e editar quem receberá as notificações por email para os alertas disparados na assinatura atual.
Saiba como Configurar notificações por email para alertas de segurança.
Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses
O seguinte alerta de visualização foi preterido:
| Nome do alerta | Description |
|---|---|
|
VERSÃO PRÉVIA – Atividade de um endereço IP suspeito (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
A atividade de usuários de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detectada. Esses proxies são usados por usuários que desejam ocultar o endereço IP do dispositivo e podem ser usados com objetivos mal-intencionados. Essa detecção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização. Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem. |
Um novo alerta foi criado que fornece essas informações e adiciona a ele. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença do Microsoft Defender para Aplicativos de Nuvem (conhecido anteriormente como Microsoft Cloud App Security).
Veja mais alertas para o Resource Manager.
Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas
A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de classificação de segurança para a seção melhores práticas.
A experiência do usuário atual só fornece a pontuação quando todas as verificações de conformidade são aprovadas. A maioria dos clientes tem dificuldades para atender a todas as verificações necessárias. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, depois de lançada, a recomendação será movida de volta para a classificação de segurança.
Fim da recomendação de usar entidades de serviço para proteger suas assinaturas
À medida que as organizações estão se afastando do uso de certificados de gerenciamento para gerenciar assinaturas e com o nosso comunicado recente de que estamos desativando o modelo de implantação dos Serviços de Nuvem (clássico), substituiremos a seguinte recomendação do Defender para Nuvem e sua política relacionada:
| Recommendation | Description | Severity |
|---|---|---|
| As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento | Os certificados de gerenciamento permitem que qualquer pessoa que os utilize para autenticação gerencie as assinaturas às quais eles estão associados. Para gerenciar assinaturas com mais segurança, o uso de entidades de serviço com o Resource Manager é recomendado para limitar o raio dos danos em caso de comprometimento de um certificado. Ele também automatiza o gerenciamento de recursos. (Política relacionada: As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento) |
Medium |
Saiba Mais:
- O modelo de implantação de Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
- Visão geral dos Serviços de Nuvem do Azure (clássico)
- Fluxo de trabalho arquitetura de VM clássica do Microsoft Azure – incluindo noções básicas de fluxo de trabalho RDFE
A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
A implementação herdada da ISO 27001 foi removida do painel de conformidade regulatória do Defender para Nuvem. Se você está acompanhando sua conformidade com a ISO 27001 com o Defender para Nuvem, integre o novo padrão ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.
Substituição das recomendações de dispositivo do Microsoft Defender para IoT
As recomendações de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Essas recomendações ainda estarão disponíveis na página Recomendações do Microsoft Defender.
As seguintes recomendações são preteridas:
| Chave de avaliação | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivos IoT | Abrir Portas no Dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivos IoT | Foi encontrada uma política de firewall permissiva em uma das cadeias |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de saída |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivos IoT | Falha na validação de linha de base do sistema operacional |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivos IoT | O agente envia mensagens subutilizadas |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivos IoT | É preciso atualizar o pacote de criptografia do TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivos IoT |
Auditd processo parou de enviar eventos |
Substituição dos alertas de dispositivo do Microsoft Defender para IoT
Todos os alertas de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Esses alertas ainda estão disponíveis na página Alerta do Microsoft Defender para IoT e no Microsoft Sentinel.
Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)
Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP e AWS. Esse plano sem agente avalia os recursos multinuvem de acordo com as recomendações de segurança específicas da nuvem, que estão incluídas na sua classificação de segurança. Os recursos são avaliados quanto à conformidade usando os padrões internos. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvem que permite gerenciar seus recursos da AWS junto com seus recursos do Azure.
O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação no AWS e no GCP. Esse plano do Defender para servidores inclui uma licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais. Saiba mais sobre todos os recursos com compatibilidade para máquinas virtuais e servidores. As funcionalidades de integração automática permitem que você conecte com facilidade as instâncias de computação novas ou existentes descobertas no seu ambiente.
Saiba como proteger e conectar seu ambiente AWS e a organização GCP com o Microsoft Defender para Nuvem.
Verificação de registro para imagens de Windows no ACR na compatibilidade adicionada para nuvens nacionais
A verificação do registro das imagens do Windows já é suportada no Azure Governamental e no Microsoft Azure operado pela 21Vianet. Este complemento está atualmente em versão prévia.
Saiba mais sobre a disponibilidade do nosso recurso.
Fevereiro de 2022
As atualizações de fevereiro incluem:
- Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc
- CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP
- Plano do Microsoft Defender para Azure Cosmos DB lançado para versão prévia
- Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)
Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc
Anteriormente, o Defender para contêineres protegia apenas as cargas de trabalho do Kubernetes em execução no Serviço de Kubernetes do Azure. Já estendemos a cobertura de proteção para incluir clusters de Kubernetes habilitados para Azure Arc.
Saiba como configurar a proteção de carga de trabalho do Kubernetes para AKS e para clusters do Kubernetes habilitados para Azure Arc.
CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP
A nova integração automatizada de ambientes da GCP permite proteger cargas de trabalho da GCP com o Microsoft Defender para Nuvem. O Defender para Nuvem protege seus recursos com os seguintes planos:
Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP. Esse plano sem agente avalia os recursos do GCP de acordo com as recomendações de segurança específicas do GCP, fornecidas com o Defender para Nuvem. As recomendações da GCP estão incluídas na sua pontuação de segurança e os recursos serão avaliados quanto à conformidade com o padrão CIS interno da GCP. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvens que ajuda você a gerenciar seus recursos do Azure, do AWS e do GCP.
O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação da GCP. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais.
Para ver uma lista completa de recursos disponíveis, confira Recursos com suporte para máquinas virtuais e servidores. As funcionalidades de integração automática permitirão que você conecte com facilidade as instâncias de computação novas e existentes descobertas em seu ambiente.
Saiba como proteger e conectar seus projetos da GCP ao Microsoft Defender para Nuvem.
Plano do Microsoft Defender para Azure Cosmos DB lançado para versão prévia
Estendemos a cobertura de banco de dados do Microsoft Defender para Nuvem. Você já pode habilitar a proteção para seus bancos de dados do Azure Cosmos DB.
O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Microsoft Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.
Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.
Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem com os detalhes da atividade suspeita, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.
Não há nenhum impacto no desempenho do banco de dados na habilitação do serviço, porque o Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB.
Saiba mais em Visão Geral do Microsoft Defender para Azure Cosmos DB.
Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Você já pode habilitar a proteção do Microsoft Defender para Nuvem na sua assinatura para proteger todos os tipos de bancos de dados, como o Azure Cosmos DB, o Banco de Dados SQL do Azure, os servidores SQL do Azure em computadores e o Microsoft Defender para bancos de dados relacionais de código aberto por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos pela configuração do seu plano.
Saiba como habilitar a segurança do banco de dados na assinatura.
Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)
Após nosso comunicado recente CSPM nativo para o GCP e proteção contra ameaças para instâncias de computação do GCP, o Microsoft Defender para Contêineres estendeu a proteção contra ameaças do Kubernetes, a análise comportamental e as políticas internas de controle de admissão para clusters Standard do GKE (Google Kubernetes Engine). Você pode integrar com facilidade todos os clusters Standard do GKE existentes ou novos ao seu ambiente por meio das nossas funcionalidades de integração automática. Confira Segurança de contêiner com o Microsoft Defender para Nuvem para ver uma lista completa dos recursos disponíveis.
Janeiro de 2022
As atualizações em janeiro incluem:
- Microsoft Defender para Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para a Matriz MITRE ATT&CK®
- Recomendações para habilitar planos no Microsoft Defender em workspaces (em versão prévia)
- Provisionar automaticamente o agente do Log Analytics para computadores habilitados para o Azure Arc (versão prévia)
- Preterida a recomendação para classificar dados confidenciais em banco de dados SQL
- Comunicação com alerta de domínio suspeito expandida para domínios conhecidos relacionados ao Log4Shell incluídos
- Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
- Duas recomendações renomeadas
- Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas
- Adicionada a pasta de trabalho 'Alertas Ativos'
- Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental
Microsoft Defender para Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para a Matriz MITRE ATT&CK®
A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, ela também é um possível alvo para invasores. Recomendamos que as equipes de operações de segurança monitorem atentamente a camada de gerenciamento de recursos.
O Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização, sejam elas executadas por meio do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure. O Defender para Nuvem executa análises de segurança avançadas a fim de detectar ameaças e alertar você sobre atividades suspeitas.
As proteções do plano aprimoram muito a resiliência da organização contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos Azure para Nuvem.
Em dezembro de 2020, apresentamos a versão prévia do Defender para Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.
Com essa atualização, revisemos de modo abrangente o foco do plano do Microsoft Defender para Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocações suspeitas de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo para ataques em toda a matriz MITRE ATT&CK® completa para técnicas baseadas em nuvem.
Essa matriz abrange a seguinte gama de possíveis intenções de agentes de ameaças que podem estar visando os recursos da sua organização: Acesso Inicial, Execução, Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Exfiltração e Impacto.
Os novos alertas para este plano do Defender abrangem essas intenções, conforme mostrado na tabela a seguir.
Tip
Os alertas também aparecem na página de referência de alertas.
| Alerta (tipo de alerta) | Description | Táticas do MITRE (intenções) | Severity |
|---|---|---|---|
|
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.InitialAccess) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Acesso Inicial | Medium |
|
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Execution) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador na sua assinatura, o que pode indicar uma tentativa de execução de código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Execution | Medium |
|
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Persistence) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de estabelecer a persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Persistence | Medium |
|
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.PrivilegeEscalation) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de elevar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios enquanto compromete os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Escalonamento de privilégios | Medium |
|
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.DefenseEvasion) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de evadir-se de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado e comprometer os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Evasão de defesa | Medium |
|
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.CredentialAccess) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar as credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Acesso à credencial | Medium |
|
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.LateralMovement) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de realizar uma movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Movimento Lateral | Medium |
|
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Collection) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Collection | Medium |
|
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia) (ARM_AnomalousOperation.Impact) |
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, que pode indicar uma tentativa de alterar uma configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Impact | Medium |
Além disso, estes dois alertas do plano saíram da versão prévia:
| Alerta (tipo de alerta) | Description | Táticas do MITRE (intenções) | Severity |
|---|---|---|---|
|
Operação do Azure Resource Manager partindo de um endereço IP suspeito (ARM_OperationFromSuspiciousIP) |
O Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. | Execution | Medium |
|
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito (ARM_OperationFromSuspiciousProxyIP) |
O Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. | Evasão de defesa | Medium |
Recomendações para habilitar planos do Microsoft Defender em workspaces (em versão prévia)
Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender para servidores e do Microsoft Defender para SQL em computadores, os planos precisam ser habilitados nos dois níveis: assinatura e workspace.
Quando um computador estiver em uma assinatura com um desses planos habilitado, você será cobrado por todas as proteções. No entanto, se esse computador estiver relatando a um workspace sem o plano habilitado, você não receberá esses benefícios.
Adicionamos duas recomendações que realçam workspaces sem esses planos habilitados, que, no entanto, têm computadores relatando a eles de assinaturas que têm o plano habilitado.
As duas recomendações, que oferecem correção automatizada (a ação "Corrigir"), são:
| Recommendation | Description | Severity |
|---|---|---|
| O Microsoft Defender para servidores deve estar habilitado nos workspaces | O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux. Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender para Servidores. (Não há política relacionada) |
Medium |
| O Microsoft Defender para SQL em computadores deve estar habilitado nos workspaces | O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux. Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender para Servidores. (Não há política relacionada) |
Medium |
Provisionar automaticamente o agente do Log Analytics para computadores habilitados para o Azure Arc (versão prévia)
O Defender para Nuvem usa o agente do Log Analytics para coletar dados relacionados à segurança de computadores. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu workspace para análise.
As configurações de provisionamento automático do Defender para Nuvem têm uma alternância para cada tipo de extensão compatível, incluindo o agente do Log Analytics.
Em uma expansão adicional de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente do Log Analytics para computadores conectados ao Azure Arc.
Assim como as outras opções de provisionamento automático, ela é configurada no nível da assinatura.
Ao habilitar essa opção, você precisará informar o workspace.
Note
Para esta versão prévia, você não pode selecionar o workspace padrão que foi criado pelo Defender para Nuvem. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para o Azure Arc, verifique se você tem a solução de segurança relevante instalada no workspace selecionado.
Preterida a recomendação para classificar dados confidenciais em banco de dados SQL
Removemos a recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como o Defender para Nuvem identifica e protege dados confidenciais em seus recursos de nuvem.
O aviso antecipado dessa alteração apareceu nos últimos seis meses na página Alterações importantes futuras no Microsoft Defender para Nuvem.
Comunicação com alerta de domínio suspeito expandida para domínios conhecidos relacionados ao Log4Shell incluídos
Anteriormente, o alerta a seguir estava disponível apenas para organizações que tinham habilitado o plano do Microsoft Defender para DNS.
Com essa atualização, o alerta também aparecerá para assinaturas com o plano do Microsoft Defender para servidores ou do Defender para Serviço de Aplicativo habilitado.
Além disso, a Inteligência contra Ameaças da Microsoft expandiu a lista de domínios mal-intencionados conhecidos de modo a incluir domínios associados à exploração das vulnerabilidades amplamente publicadas associadas ao Log4j.
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças (AzureDNS_ThreatIntelSuspectDomain) |
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. | Acesso inicial / Persistência / Execução / Comando e controle / Exploração | Medium |
Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas de SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.
O novo botão Copiar alerta JSON coloca os detalhes do alerta, no formato JSON, na área de transferência do usuário.
Duas recomendações renomeadas
Para consistência com outros nomes de recomendação, renomeamos estas duas recomendações:
Recomendação para resolver vulnerabilidades descobertas em imagens de contêiner em execução
- Nome anterior: As vulnerabilidades nas imagens de contêiner em execução devem ser corrigidas (da plataforma Qualys)
- Novo nome: As imagens de contêiner em execução devem ter as descobertas de vulnerabilidade resolvidas
Recomendação para habilitar logs de diagnóstico para o Serviço de Aplicativo do Azure
- Nome anterior: Os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
- Novo nome: Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas
A recomendação de que os contêineres de cluster do Kubernetes só devem escutar as portas permitidas foi preterida.
| Nome da política | Description | Effect(s) | Version |
|---|---|---|---|
| Os contêineres de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir a escuta dos contêineres apenas às portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte Noções básicas sobre o Azure Policy para clusters do Kubernetes. | auditar, negar, desabilitado | 6.1.2 |
A recomendação de que os serviços devem escutar somente em portas permitidas deve ser usada para limitar as portas que um aplicativo expõe à Internet.
Adicionada a pasta de trabalho 'Alertas Ativos'
Para ajudar nossos usuários a compreender as ameaças ativas nos ambientes e a priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.
A pasta de trabalho de alertas ativos permite que os usuários exibam um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas Ativos'.
Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental
A recomendação 'As atualizações do sistema devem ser instaladas no seu computador' agora está disponível em todas as nuvens governamentais.
É provável que essa alteração afete a Secure Score da sua assinatura de nuvem governamental. Esperamos que a alteração cause uma pontuação menor, mas é possível que a inclusão da recomendação possa resultar em uma pontuação maior em alguns casos.
Dezembro de 2021
As atualizações de dezembro incluem:
- Plano do Microsoft Defender para Contêineres lançado para GA (disponibilidade geral)
- Novos alertas para o Microsoft Defender para Armazenamento lançados para GA (disponibilidade geral)
- Aprimoramentos aos alertas do Microsoft Defender para Armazenamento
- Alerta 'PortSweeping' removido dos alertas de camada de rede
Plano do Microsoft Defender para Contêineres lançado para GA (disponibilidade geral)
Há mais de dois anos, introduzimos o Defender para Kubernetes e o Defender para registros de contêiner como parte da oferta Azure Defender no Microsoft Defender para Nuvem.
Com o lançamento do Microsoft Defender para Contêineres, mesclamos esses dois planos existentes do Defender.
O novo plano:
- Combina os recursos dos dois planos existentes: detecção de ameaças para clusters do Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
- Traz recursos novos e aprimorados – incluindo suporte multinuvem, detecção de ameaças no nível do host com mais de sessenta novas análises com conhecimento do Kubernetes e avaliação de vulnerabilidade para execução de imagens
- Apresenta a integração nativa do Kubernetes em escala – por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente
Com esta versão, a disponibilidade e a apresentação do Defender para Kubernetes e do Defender para registros de contêiner foram alteradas da seguinte forma:
- Novas assinaturas – os dois planos de contêiner anteriores não estão mais disponíveis
- Assinaturas existentes – onde quer que elas apareçam no portal do Azure, os planos são mostrados como preteridos com instruções sobre como atualizar para o plano mais recente do
O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para o Defender para Contêineres e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Introdução ao Microsoft Defender para contêineres.
Para obter mais informações, consulte:
- Visão geral do Microsoft Defender para Contêineres
- Habilitar o Microsoft Defender para Contêineres
- Introdução ao Microsoft Defender para Contêineres – Microsoft Tech Community
- Microsoft Defender para Contêineres | Defender para Nuvem no Campo nº 3 – YouTube
Novos alertas para o Microsoft Defender para Armazenamento lançados para GA (disponibilidade geral)
Os atores de ameaça usam ferramentas e scripts para verificar se há contêineres abertos publicamente na espera de encontrar contêineres de armazenamento abertos configurados incorretamente contendo dados confidenciais.
O Microsoft Defender para Armazenamento detecta esses scanners para que você possa bloqueá-los e remediar sua postura.
O alerta de visualização que detectou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, dividimos isso em dois novos alertas. Esses alertas são relevantes apenas para o Armazenamento de Blobs do Azure.
Aprimoramos a lógica de detecção, atualizamos os metadados de alerta e mudamos o nome e o tipo de alerta.
Estes são os novos alertas:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Contêineres de armazenamento acessíveis publicamente descobertos com êxito (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de exame. Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles. O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Falha no exame de contêineres de armazenamento acessíveis publicamente (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Uma série de tentativas com falha para examinar contêineres de armazenamento abertos publicamente foi executada na última hora. Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles. O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Visão geral do Microsoft Defender para Armazenamento
- Lista de alertas fornecidos pelo Microsoft Defender para Armazenamento
Aprimoramentos aos alertas do Microsoft Defender para Armazenamento
Os alertas de acesso inicial agora têm precisão aprimorada e mais dados para dar suporte à investigação.
Os atores de ameaça usam várias técnicas no acesso inicial para obter uma posição dentro de uma rede. Dois dos alertas do Microsoft Defender para Armazenamento que detectam anomalias comportamentais neste estágio agora têm uma lógica de detecção aprimorada e dados adicionais para dar suporte a investigações.
Se você configurou automações ou definiuregras de supressão de alerta para esses alertas no passado, atualize-as de acordo com essas alterações.
Detectar o acesso de um nó de saída do Tor
O acesso de um nó de saída do Tor pode indicar um ator de ameaça tentando ocultar a própria identidade.
O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.
Um padrão subjacente terá severidade alta, enquanto padrões menos anômalos terão severidade média.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso de um nó de saída do Tor a uma conta de armazenamento
- Nome do alerta (novo): acesso autenticado de um nó de saída do Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descrição: um ou mais contêineres de armazenamento/compartilhamentos de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido como nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
- Tática MITRE: acesso inicial
- Gravidade: Alta/Média
Acesso não autenticado incomum
Uma alteração nos padrões de acesso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.
Esse alerta de severidade média agora está ajustado com lógica comportamental aprimorada, maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
- Nome do alerta (novo): acesso não autenticado incomum a um contêiner de armazenamento
- Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure
- Tática MITRE: coleção
- Severidade: Média
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Introdução ao Microsoft Defender para Armazenamento
- Lista de alertas fornecidos pelo Microsoft Defender para Armazenamento
Alerta 'PortSweeping' removido dos alertas de camada de rede
O seguinte alerta foi removido de nossos alertas de camada de rede devido a ineficiências:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Possível atividade de verificação de porta de saída detectada (PortSweeping) |
A análise do tráfego de rede de detectou um tráfego de saída suspeito de %{Host Comprometido}. Esse tráfego pode ser resultado de uma atividade de varredura de porta. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta não é permitida pelos Termos de Serviço do Azure. Se esse comportamento não for intencional, isso pode significar que seu recurso foi comprometido. | Discovery | Medium |
Novembro de 2021
Nossa versão do Ignite inclui:
- A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem
- CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
- Priorizar ações de segurança por confidencialidade de dados (da plataforma Microsoft Purview) (em versão prévia)
- Avaliações de controle de segurança expandidas com o Azure Security Benchmark v3
- Sincronização opcional de alertas bi-direcionais do conector do Microsoft Sentinel liberada para GA (disponibilidade geral)
- Nova recomendação para enviar logs do AKS (Serviço de Kubernetes do Azure) para o Microsoft Sentinel
- Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)
Outras alterações em novembro incluem:
- Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft – liberado para GA (disponibilidade geral)
- O Microsoft Defender para Ponto de Extremidade para Linux agora tem compatibilidade com o Microsoft Defender para servidores – liberado para GA (disponibilidade geral)
- Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)
- Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para disponibilidade geral (GA)
- Filtros de inventário de software no inventário de ativos lançados em disponibilidade geral (GA)
- Nova política de segurança do AKS adicionada à iniciativa padrão – versão prévia
- A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso
A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem
De acordo com o relatório Estado da Nuvem de 2021, 92% das organizações agora têm uma estratégia de várias nuvens. Na Microsoft, nossa meta é centralizar a segurança nesses ambientes e ajudar as equipes de segurança a trabalhar com mais eficiência.
O Microsoft Defender para Nuvem é uma solução CSPM (Cloud Security Posture Management) e CWPP (Cloud Workload Protection Platform) que descobre pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e protege cargas de trabalho em ambientes multinuvem e híbridos.
No Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger sua propriedade digital e integrar tecnologias XDR na marca do Microsoft Defender. Unificar a Central de Segurança do Azure e o Azure Defender com o novo nome Microsoft Defender para Nuvem reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de dar suporte a qualquer plataforma de nuvem.
CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
Uma nova página de configurações de ambiente fornece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas do AWS. A página foi projetada para integrar contas do AWS em escala: conectar sua conta de gerenciamento do AWS e você integrará automaticamente contas existentes e futuras.
Quando você adiciona suas contas do AWS, o Defender para Nuvem protege seus recursos do AWS com um ou todos os seguintes planos:
- Os recursos do CSPM do Defender para Nuvem se estendem aos seus recursos do AWS. Esse plano sem agente avalia os recursos do AWS de acordo com as recomendações de segurança específicas do AWS, as quais estão incluídas na sua classificação de segurança. Os recursos também serão avaliados quanto à conformidade com padrões internos específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos da AWS e do Azure juntos.
- O Microsoft Defender para Kubernetes estende sua detecção de ameaças de contêiner e defesas avançadas para seus clusters do Amazon EKS no Linux.
- O Microsoft Defender para Servidores adiciona proteções avançadas e detecção contra ameaças às suas instâncias EC2 do Windows e do Linux. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, linhas de base de segurança e avaliações no nível do sistema operacional, verificações de avaliação de vulnerabilidade, AAC (controles de aplicativo adaptáveis), FIM (monitoramento de integridade de arquivos) e muito mais.
Saiba mais sobre como conectar suas contas do AWS ao Microsoft Defender para Nuvem.
Priorizar ações de segurança por confidencialidade de dados (da plataforma Microsoft Purview) (em versão prévia)
Os recursos de dados continuam sendo um destino popular para atores de ameaça. Portanto, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais nos próprios ambientes de nuvem.
Para enfrentar esse desafio, o Microsoft Defender para Nuvem agora integra informações de confidencialidade do Microsoft Purview. O Microsoft Purview é um serviço de governança de dados unificado que fornece insights abrangentes sobre a confidencialidade de seus dados em cargas de trabalho locais e de várias nuvens.
A integração com o Microsoft Purview estende sua visibilidade de segurança no Defender para Nuvem do nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.
Saiba mais em Priorizar as ações de segurança por confidencialidade de dados.
Avaliações de controle de segurança expandidas com o Azure Security Benchmark v3
As recomendações de segurança no Defender para Nuvem são compatíveis com o Azure Security Benchmark.
O Azure Security Benchmark é um conjunto de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.
No Ignite 2021, o Azure Security Benchmark v3 está disponível no painel de conformidade regulatória do Defender para Nuvem e habilitado como a nova iniciativa padrão para todas as assinaturas do Azure protegidas com o Microsoft Defender para Nuvem.
Os aprimoramentos da v3 incluem:
Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e controles CIS v8.
Diretrizes mais granulares e acionáveis para controles com a introdução de:
- Princípios de Segurança – Fornecendo insights sobre os objetivos gerais de segurança que criam a base para nossas recomendações.
- Diretrizes do Azure – O "instruções" técnico para atender a esses objetivos.
Novos controles incluem segurança do DevOps para problemas como modelagem de ameaças e segurança da cadeia de fornecedores de software, bem como gerenciamento de chaves e certificados para práticas recomendadas no Azure.
Saiba mais em Introdução ao Azure Security Benchmark.
Sincronização opcional de alertas bidirecionais do conector do Microsoft Sentinel liberada para GA (disponibilidade geral)
Em julho, anunciamos um recurso de visualização, sincronização bidirecional de alertas, para o conector interno no Microsoft Sentinel (solução SIEM e SOAR nativa de nuvem da Microsoft). Esse recurso agora foi lançado para GA (disponibilidade geral).
Quando você conecta o Microsoft Defender para Nuvem ao Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel. Alterar o status de um alerta no Defender para Nuvem não afetará o status de nenhum incidente do Microsoft Sentinel que contenha o alerta sincronizado do Microsoft Sentinel, somente o do próprio alerta sincronizado.
Ao habilitar a sincronização de alertas bidirecional, você sincronizará automaticamente o status dos alertas originais do Defender para Nuvem com os incidentes do Microsoft Sentinel que contêm as cópias desses alertas. Portanto, por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Microsoft Defender for fechado, o Defender para Nuvem fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure e Transmitir alertas para o Microsoft Sentinel.
Nova recomendação para enviar logs do AKS (Serviço de Kubernetes do Azure) para o Microsoft Sentinel
Em mais um aprimoramento no valor combinado do Defender para Nuvem e do Microsoft Sentinel, agora destacaremos instâncias do Serviço de Kubernetes do Azure que não estão enviando dados de log para o Microsoft Sentinel.
As equipes de SecOps podem escolher o workspace relevante do Microsoft Sentinel diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir a cobertura de log completa nas respectivas cargas de trabalho para se manterem no controle de todo o ambiente delas.
A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados", inclui a opção "Corrigir" para correção mais rápida.
Também aprimoramos a recomendação "A auditoria no SQL Server deve ser habilitada" com os mesmos recursos de streaming do Microsoft Sentinel.
Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)
Aprimoramos as recomendações de segurança do Defender para Nuvem para mostrar a posição do Defender na estrutura MITRE ATT&CK®. Essa base de dados de conhecimento globalmente acessível das táticas e técnicas dos atores de ameaças com base em observações do mundo real fornece mais contexto para ajudar você a entender os riscos associados das recomendações para o seu ambiente.
Você pode encontrar essas táticas sempre que acessar as informações de recomendação:
Os resultados da consulta do Azure Resource Graph para recomendações relevantes incluem as técnicas e táticas do MITRE ATT&CK®.
As páginas de detalhes da recomendação mostram o mapeamento de todas as recomendações relevantes:
A página de recomendações no Defender para Nuvem tem um novo filtro
para selecionar recomendações de acordo com as táticas associadas:
Saiba mais em Examinar as suas recomendações de segurança.
Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft – liberado para GA (disponibilidade geral)
Em outubro, anunciamos uma extensão da integração entre o Microsoft Defender para Servidores e o Microsoft Defender para Ponto de Extremidade, para dar suporte a um novo provedor de avaliação de vulnerabilidades para seus computadores: gerenciamento de ameaças e vulnerabilidades da Microsoft. Esse recurso agora foi lançado para GA (disponibilidade geral).
Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.
Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).
Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.
O Microsoft Defender para Ponto de Extremidade para Linux agora tem compatibilidade com o Microsoft Defender para servidores – liberado para GA (disponibilidade geral)
Em agosto, anunciamos o suporte de visualização para implantar o sensor defender para ponto de extremidade para Linux em computadores Linux com suporte. Esse recurso agora foi lançado para GA (disponibilidade geral).
O Microsoft Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).
Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.
Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.
Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)
O Defender para Nuvem gera alertas e recomendações de segurança detalhados. Você pode exibi-los no portal ou por meio de ferramentas programáticas. Talvez você também precise exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
O recurso de exportação contínua do Defender para Nuvem permite personalizar totalmente o que será exportado e para onde ele irá. Saiba mais em Exportação contínua de dados no Microsoft Defender para Nuvem.
Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados à classificação de segurança e aos dados de conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.
Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para disponibilidade geral (GA)
Em outubro, anunciamos a adição de soluções de avaliação de vulnerabilidade à página de provisionamento automático do Defender para Nuvem. Isso é relevante para máquinas virtuais do Azure e Azure Arc em assinaturas protegidas pelo Azure Defender para servidores. Esse recurso agora foi lançado para GA (disponibilidade geral).
Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:
- (NOVO) O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft Defender para Ponto de Extremidade (consulte a nota de versão)
- O agente Qualys integrado
Sua solução escolhida será habilitada automaticamente em computadores com suporte.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.
Filtros de inventário de software no inventário de ativos lançados em GA (disponibilidade geral)
Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar computadores que executam software específico e até especificar as versões de interesse. Esse recurso agora foi lançado para GA (disponibilidade geral).
Você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .
Para usar esses recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.
Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.
Nova política de segurança do AKS adicionada à iniciativa padrão
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, o Defender para Nuvem inclui recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para a implantação em clusters do Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a versão prévia relacionada.
Você pode ignorar com segurança as políticas e a recomendação ("os clusters do Kubernetes devem proteger a implantação de imagens vulneráveis") e não haverá impacto sobre seu ambiente.
Se você quiser participar da versão prévia, precisará ser membro do anel de visualização. Se você ainda não for um membro, envie uma solicitação aqui. Os membros serão notificados quando a versão prévia for iniciada.
A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso
Para melhorar a apresentação de recursos no inventário de ativos, removemos o elemento "source-computer-IP" do modelo para nomear computadores locais.
-
Formato anterior:
machine-name_source-computer-id_VMUUID -
A partir desta atualização:
machine-name_VMUUID
Outubro de 2021
As atualizações de outubro incluem:
- Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft (em versão prévia)
- As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)
- Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)
- Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"
- Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes
- As páginas de detalhes das recomendações agora mostram as recomendações relacionadas
- Novos alertas para Azure Defender para Kubernetes (em versão prévia)
Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft (em versão prévia)
Ampliamos a integração entre o Azure Defender para servidores e o Microsoft Defender para ponto de extremidade a fim de dar suporte a uma nova avaliação de vulnerabilidade fornecidas para seus computadores: Gerenciamento de Ameaças e Vulnerabilidades da Microsoft.
Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.
Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).
Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.
As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)
A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para máquinas virtuais do Azure e máquinas de Azure Arc em assinaturas protegidas pelo Azure Defender para servidores.
Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:
- (NOVO) O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft Defender para Ponto de Extremidade (consulte a nota de versão)
- O agente Qualys integrado
Sua solução escolhida será habilitada automaticamente em computadores com suporte.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.
Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)
A página de inventário de ativos agora inclui um filtro para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse.
Além disso, você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .
Para usar esses novos recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.
Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.
Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"
Em julho de 2021, anunciamos uma reorganização lógica dos alertas do Azure Defender para Resource Manager
Durante a reorganização dos planos do Defender, movemos alertas do Azure Defender for Resource Manager para o Azure Defender para servidores.
Com essa atualização, mudamos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na seguinte tabela:
| Nome original | A partir dessa alteração |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.
Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes
A recomendação "Os clusters do Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nessa recomendação foram removidos: ConfigMap e Segredo.
Saiba mais sobre essa recomendação e como proteger os clusters do Kubernetes em Noções Básicas do Azure Policy para clusters do Kubernetes.
As páginas de detalhes das recomendações agora mostram as recomendações relacionadas
Para esclarecer as relações entre recomendações diferentes, adicionamos uma área de recomendações relacionadas às páginas de detalhes de muitas recomendações.
Os três tipos de relação mostrados nessas páginas são:
- Pré-requisito – Uma recomendação que precisa ser concluída antes da recomendação selecionada
- Alternativa – uma recomendação diferente que fornece outra maneira de alcançar as metas da recomendação selecionada
- Dependente – uma recomendação para a qual a recomendação selecionada é um pré-requisito
Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".
Tip
Se uma recomendação relacionada estiver em cinza, a respectiva dependência ainda não estará concluída e, portanto, não estará disponível.
Um exemplo de recomendações relacionadas:
A Central de Segurança verifica se há soluções de avaliação de vulnerabilidades com suporte nos seus computadores:
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuaisSe uma solução for encontrada, você receberá uma notificação sobre as vulnerabilidades descobertas:
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Obviamente, a Central de Segurança não poderá enviar notificações sobre as vulnerabilidades descobertas se não encontrar uma solução de avaliação de vulnerabilidades com suporte.
Therefore:
- A recomendação nº 1 é um pré-requisito da recomendação nº 2
- A recomendação nº 2 depende da recomendação nº 1
Novos alertas para Azure Defender para Kubernetes (em versão prévia)
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Kubernetes, adicionamos dois alertas em versão prévia.
Esses alertas são gerados com base em um novo modelo de machine learning e na análise avançada do Kubernetes, medindo vários atributos de implantação e de atribuição de função e comparando-os a atividades anteriores no cluster e em todos os clusters monitorados pelo Azure Defender.
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
|
Implantação de pod anormal (versão prévia) (K8S_AnomalousPodDeployment) |
A análise de log de auditoria do Kubernetes detectou uma implantação de pod anômala com base na atividade de implantação anterior. Essa atividade é considerada anômala ao examinar como os diferentes recursos na operação de implantação se relacionam entre si. Os recursos monitorados incluem o registro de imagem de contêiner usado, a conta de implantação, o dia da semana, a frequência de implantação dessa conta, o agente de usuário usado, os padrões de implantação do namespace e outras características. As propriedades estendidas do alerta detalham os principais motivos que contribuem para identificar isso como atividade anômala. | Execution | Medium |
|
Permissões de função excessivas atribuídas no cluster do Kubernetes (versão prévia) (K8S_ServiceAcountPermissionAnomaly) |
A análise dos logs de auditoria do Kubernetes detectou uma atribuição de função de permissões excessivas ao cluster. Ao examinar as atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa detecção considera as atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, volume por permissão e o impacto da permissão específica. O modelo de detecção de anormalidades usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados por Azure Defender. | Escalonamento de privilégios | Low |
Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.
Setembro de 2021
Em setembro, a seguinte atualização foi lançada:
Duas novas recomendações para auditar as configurações do sistema operacional para conformidade da linha de base de segurança do Azure (em versão prévia)
Estas duas recomendações foram lançadas para avaliar a conformidade dos computadores com a linha de base de segurança do Windows e a linha de base de segurança do Linux:
- Para computadores com Windows, É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado)
- Para computadores com Linux,É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)
Essas recomendações usam o recurso de configuração de convidado do Azure Policy para comparar a configuração do sistema operacional de um computador com a linha de base definida no Azure Security Benchmark.
Saiba mais sobre como usar essas recomendações em Proteger a configuração do sistema operacional de um computador usando a configuração de convidado.
Agosto de 2021
As atualizações de agosto incluem:
- O Microsoft Defender para Ponto de Extremidade para Linux agora tem suporte do Azure Defender para servidores (em versão prévia)
- Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)
- Solução de problemas e diretrizes internas para resolver problemas comuns
- Relatórios de auditoria do Azure do painel de conformidade regulatória liberados para GA (disponibilidade geral)
- Substituição da recomendação "Os problemas de integridade do agente do Log Analytics devem ser resolvidos nos computadores"
- O Azure Defender para registros de contêiner agora verifica se há vulnerabilidades em registros protegidos com Link Privado do Azure
- A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)
- As recomendações agora dão suporte a "Aplicar".
- Exportações de CSV de dados de recomendação agora limitadas a 20 MB
- A página de recomendações agora inclui várias exibições
O Microsoft Defender para Ponto de Extremidade para Linux agora tem suporte do Azure Defender para servidores (em versão prévia)
O Azure Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).
Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado na Central de Segurança. Na Central de Segurança, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.
Durante o período de visualização, você implantará o sensor do Defender para Ponto de Extremidade para Linux em computadores Linux com suporte de uma das duas maneiras possíveis, dependendo de se você já o implantou nos seus computadores Windows:
- Usuários existentes com recursos de segurança aprimorada do Defender para Nuvem habilitados e o Microsoft Defender para Ponto de Extremidade para Windows
- Novos usuários que nunca habilitaram a integração com o Microsoft Defender para Ponto de Extremidade para Windows
Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.
Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)
Adicionamos duas recomendações de visualização para implantar e manter as soluções de proteção de ponto de extremidade em seus computadores. Ambas as recomendações incluem suporte para máquinas virtuais do Azure e máquinas conectadas a servidores habilitados do Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| O Endpoint Protection deve ser instalado nos computadores | Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte.
Saiba mais sobre como a Endpoint Protection para os computadores é avaliada. (Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure) |
High |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade com suporte da Central de Segurança do Azure estão documentadas aqui. A avaliação de proteção do ponto de extremidade está documentada aqui. (Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure) |
Medium |
Note
As recomendações mostram o intervalo de atualização como 8 horas, mas há alguns cenários em que isso pode levar muito mais tempo. Por exemplo, quando um computador local é excluído, a Central de Segurança leva 24 horas para identificar a exclusão. Depois disso, a avaliação levará até oito horas para retornar as informações. Nessa situação específica, portanto, pode levar 32 horas para que a máquina seja removida da lista de recursos afetados.
Solução de problemas e diretrizes internas para solucionar problemas comuns
Uma nova área dedicada das páginas da Central de Segurança no portal do Azure fornece um conjunto de materiais de ajuda autônoma cada vez mais amplo para resolver desafios comuns da Central de Segurança e do Azure Defender.
Quando você estiver enfrentando um problema ou estiver buscando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudar a encontrar a solução:
Relatórios de auditoria do Azure do painel de conformidade regulatória liberados para GA (disponibilidade geral)
A barra de ferramentas do painel de conformidade regulatória oferece relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas.
Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.
Para obter mais informações, confira Gerar certificados e relatórios de status de conformidade.
Substituição da recomendação "Os problemas de integridade do agente do Log Analytics devem ser resolvidos nos computadores"
Descobrimos que a recomendação de problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas afeta as pontuações seguras de maneiras inconsistentes com o foco do GPSN (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o GPSN está relacionado à identificação de configurações incorretas de segurança. Os problemas de integridade do agente não se encaixam nessa categoria de problemas.
Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados à Central de Segurança: esse é o único agente com uma recomendação relacionada a problemas de integridade.
A recomendação foi preterida.
Como resultado dessa descontinuação, também fizemos pequenas alterações nas recomendações para instalar o agente do Log Analytics (O agente do Log Analytics deve ser instalado em... ).
Provavelmente essa alteração afetará suas classificações de segurança. Para a maioria das assinaturas, a expectativa é que a alteração leve a uma classificação maior, mas é possível que as atualizações da recomendação de instalação possam resultar em redução da classificação, em alguns casos.
Tip
A página de inventário de ativos também foi afetada por essa alteração, pois exibe o status monitorado para computadores (monitorado, não monitorado ou parcialmente monitorado – um estado que se refere a um agente com problemas de integridade).
O Azure Defender para registros de contêiner agora verifica se há vulnerabilidades em registros protegidos com Link Privado do Azure
O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir descobertas em Usar o Azure Defender para registros de contêiner para verificar suas imagens quanto a vulnerabilidades.
Para limitar o acesso a um registro hospedado no Registro de Contêiner do Azure, atribua endereços IP privados da rede virtual aos pontos de extremidade do registro e use o Link Privado do Azure conforme explicado em Conectar-se de forma privada a um registro de contêiner do Azure usando um Link Privado do Azure.
Como parte de nossos esforços contínuos para dar suporte a ambientes e casos de uso adicionais, o Azure Defender agora também examina os registros de contêiner protegidos com Link Privado do Azure.
A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)
O Azure Policy pode auditar as configurações dentro de um computador, tanto para computadores em execução no Azure quanto em Computadores Conectados pelo Arc. A validação é executada pela extensão e pelo cliente de Configuração de Convidado. Saiba mais em Entender a Configuração de Convidado do Azure Policy.
Com esta atualização, agora você pode configurar a Central de Segurança para provisionar automaticamente essa extensão para todos os computadores com suporte.
Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.
As recomendações agora dão suporte a "Impor"
A Central de Segurança inclui dois recursos que ajudam a garantir que os recursos recém-criados sejam provisionados de maneira segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:
- Negar impede que recursos não íntegros sejam criados
- Impor correções automáticas de recursos não compatíveis quando eles são criados
Com esta atualização, a opção Impor agora está disponível nas recomendações para habilitar planos do Azure Defender (como O Azure Defender para o Serviço de Aplicativo deve estar habilitado, O Azure Defender para Key Vault deve estar habilitado, O Azure Defender para Armazenamento deve estar habilitado).
Saiba mais sobre essas opções em Impedir configurações incorretas com as recomendações de Impor/Negar.
Exportações de CSV de dados de recomendação agora limitadas a 20 MB
Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.
Se for necessário exportar grandes quantidades de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.
Saiba mais sobre como executar uma exportação CSV das recomendações de segurança.
A página de recomendações agora inclui várias exibições
A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:
- Recomendações de classificação de segurança – Use essa guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
- Todas as recomendações – use essa guia para exibir a lista de recomendações como uma lista simples. Essa guia também é excelente para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com as recomendações em O que são políticas de segurança, iniciativas e recomendações?
Julho de 2021
As atualizações de julho incluem:
- O conector do Microsoft Sentinel agora inclui sincronização de alerta bidirecional opcional (em versão prévia)
- Reorganização lógica do Azure Defender para alertas do Resource Manager
- Aprimoramentos na recomendação para habilitar o ADE (Azure Disk Encryption)
- Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)
- As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)
- Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos
- Modelo de pasta de trabalho de "Conformidade ao longo do tempo" adicionado à galeria de Pastas de Trabalho do Azure Monitor
O conector do Microsoft Sentinel agora inclui sincronização de alerta bidirecional opcional (em versão prévia)
A Central de Segurança integra-se nativamente ao Microsoft Sentinel, à solução SIEM nativa de nuvem do Azure e à solução SOAR.
O Microsoft Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em Transmitir alertas para o Microsoft Sentinel.
Quando você conecta o Azure Defender ao Microsoft Sentinel, o status dos alertas do Azure Defender que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Azure Defender, esse alerta também será exibido como fechado no Microsoft Sentinel. Alterar o status de um alerta no Azure Defender "não afetará"* o status de quaisquer incidentes do Microsoft Sentinel que contenham o alerta sincronizado do Microsoft Sentinel, somente o do próprio alerta sincronizado.
Quando você habilita a sincronização de alerta bidirecional do recurso de visualização, ele sincroniza automaticamente o status dos alertas originais do Azure Defender com incidentes do Microsoft Sentinel que contêm cópias desses alertas do Azure Defender. Portanto, por exemplo, quando um incidente do Microsoft Sentinel que contém um alerta do Azure Defender é fechado, o Azure Defender fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure.
Reorganização lógica do Azure Defender para alertas do Resource Manager
Os alertas listados abaixo são fornecidos atualmente como parte do plano do Azure Defender para Resource Manager.
Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos alguns alertas do Azure Defender para Resource Manager para o Azure Defender para servidores.
Os alertas são organizados de acordo com dois princípios essenciais:
- Alertas que fornecem proteção de plano de controle – em vários tipos de recursos do Azure, são parte do Azure Defender para Resource Manager
- Alertas que protegem cargas de trabalho específicas estão no plano do Azure Defender relacionado à carga de trabalho correspondente
Estes são os alertas que faziam parte do Azure Defender para Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender para servidores:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.
Aprimoramentos na recomendação para habilitar o ADE (Azure Disk Encryption)
Após os comentários de usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.
A nova recomendação usa a mesma ID de avaliação e é chamada Máquinas virtuais devem criptografar fluxos de dados, caches e discos temporários entre recursos de Computação e de Armazenamento.
A descrição também foi atualizada para explicar melhor a finalidade dessa recomendação de proteção:
| Recommendation | Description | Severity |
|---|---|---|
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e de Armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Para obter mais informações, consulte a comparação de diferentes tecnologias de criptografia de disco no Azure. Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se: (1) você estiver usando o recurso de criptografia no host ou (2) a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais sobre a criptografia do lado do servidor do Armazenamento em Disco do Azure. |
High |
Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)
A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
Ao configurar a sua exportação contínua, você configura quais itens serão exportados e para onde eles vão. Saiba mais na visão geral de exportação contínua.
Aprimoramos e expandimos esse recurso ao longo do tempo:
Em novembro de 2020, adicionamos a opção de visualização para transmitir alterações à sua pontuação de segurança.
Em dezembro de 2020, adicionamos a opção de visualização para transmitir alterações aos seus dados de avaliação de conformidade regulatória.
Com esta atualização, essas duas opções são liberadas para GA (disponibilidade geral).
As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)
Em fevereiro de 2021, adicionamos um terceiro tipo de dados de visualização às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória. Saiba mais em As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória.
Com esta atualização, essa opção de gatilho é liberada para GA (disponibilidade geral).
Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.
Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos
Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, confira API de Avaliações expandida com dois novos campos.
Esses campos eram acessíveis por meio da API REST, do Azure Resource Graph, da exportação contínua e nas exportações de CSV.
Com esta alteração, estamos disponibilizando as informações no esquema de workspace do Log Analytics e nos aplicativos lógicos.
Modelo de pasta de trabalho de "Conformidade ao longo do tempo" adicionado à galeria de Pastas de Trabalho do Azure Monitor
Em março, anunciamos a experiência integrada de Pastas de Trabalho do Azure Monitor na Central de Segurança (confira Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos).
A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.
Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.
Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.
Junho de 2021
As atualizações de junho incluem:
- Novo alerta do Azure Defender para o Key Vault
- Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão
- O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"
- Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"
Novo alerta do Azure Defender para o Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Key Vault, adicionamos o seguinte alerta:
| Alerta (tipo de alerta) | Description | Tática MITRE | Severity |
|---|---|---|---|
| Acesso de um endereço IP suspeito para um cofre de chaves (KV_SuspiciousIPAccess) |
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. | Acesso à credencial | Medium |
Para obter mais informações, consulte:
- Introdução ao Azure Defender para Key Vault
- Responder a alertas do Azure Defender para Key Vault
- Lista de alertas fornecidos pelo Azure Defender para o Key Vault
Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão
A Central de Segurança inclui várias recomendações para criptografar dados inativos com chaves gerenciadas pelo cliente, como por exemplo:
- Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
- Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
Os dados no Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma. Portanto, o uso de chaves gerenciadas pelo cliente deve ser aplicado somente quando necessário para conformidade com uma política específica que sua organização está optando por exigir.
Com essa alteração, as recomendações para usar CMKs agora estão desabilitadas por padrão. Quando relevante para sua organização, você pode habilitá-los alterando o parâmetro Efeito da política de segurança correspondente para AuditIfNotExists ou Enforce. Saiba mais em Habilitar uma recomendação de segurança.
Essa alteração é refletida nos nomes da recomendação com um novo prefixo [Habilitar se necessário] , conforme mostrado nos exemplos a seguir:
- [Habilitar se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados inativos
- [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- [Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"
O Azure Defender para Kubernetes foi expandido recentemente para proteger os clusters do Kubernetes hospedados localmente e em ambientes de várias nuvens. Saiba mais em Como usar o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (em versão prévia).
Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender para Kubernetes não estão mais restritos aos clusters no Serviço de Kubernetes do Azure, o prefixo dos tipos de alerta mudou de "AKS_" para "K8S_." Quando necessário, os nomes e as descrições também serão atualizados. Por exemplo, este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detectada (AKS_PenTestToolsKubeHunter) |
A análise de log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados. |
Alterado para este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detectada (K8S_PenTestToolsKubeHunter) |
A análise de log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados. |
As regras de supressão que se referem aos alertas que começam com "AKS_" foram convertidas automaticamente. Se você configurou exportações do SIEM ou scripts de automação personalizados que se referem aos alertas do Kubernetes por tipo de alerta, precisará atualizá-los com os novos tipos de alertas.
Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.
Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"
As duas recomendações abaixo foram preteridas:
- A versão do sistema operacional das funções de serviço de nuvem deverá ser atualizada – Por padrão, o Azure atualiza de modo periódico o SO convidado para obter a imagem compatível mais recente dentro da família de sistemas operacionais especificada em sua configuração de serviço (.cscfg), como o Windows Server 2016.
- Os Serviços de Kubernetes deverão ser atualizados para uma versão do Kubernetes não vulnerável – Esta avaliação da recomendação não é tão abrangente quanto gostaríamos. Planejamos substituir a recomendação por uma versão aprimorada mais alinhada às suas necessidades de segurança.
Maio de 2021
As atualizações de maio incluem:
- Azure Defender para DNS e Azure Defender para Resource Manager liberados para GA (disponibilidade geral)
- Azure Defender para bancos de dados relacionais de código aberto liberado para GA (disponibilidade geral)
- Novos alertas do Azure Defender para Resource Manager
- Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (versão prévia)
- Mais consultas do Resource Graph disponíveis para algumas recomendações
- Alterada a severidade da recomendação de classificação de dados SQL
- Novas recomendações para habilitar recursos de início confiável (em versão prévia)
- Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)
- API de avaliações expandida com dois novos campos
- O inventário de ativos obtém um filtro de ambiente de nuvem
Azure Defender para DNS e Azure Defender para Resource Manager liberados para GA (disponibilidade geral)
Esses dois planos de proteção contra ameaças de amplitude nativa de nuvem agora são GA.
Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender para Resource Manager: monitora automaticamente todas as operações de gerenciamento de recursos executadas na sua organização. Para obter mais informações, consulte:
Azure Defender para DNS: monitora continuamente todas as consultas DNS dos seus recursos do Azure. Para obter mais informações, consulte:
Para simplificar o processo de habilitação desses planos, use as recomendações:
- O Azure Defender para Resource Manager deve ser habilitado
- O Azure Defender para DNS deve ser habilitado
Note
Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Azure Defender para bancos de dados relacionais de código aberto liberado para GA (Disponibilidade Geral)
A Central de Segurança do Azure expande sua oferta de proteção do SQL com um novo pacote para abranger seus bancos de dados relacionais de código aberto:
- Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
- Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais
- Azure Defender para bancos de dados relacionais open-source - protege seus servidores únicos de Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB
O Azure Defender para bancos de dados relacionais open-source monitora constantemente seus servidores em busca de ameaças à segurança e detecta atividades anormais de banco de dados que indicam possíveis ameaças ao Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:
- Detecção granular de ataques de força bruta – o Azure Defender para bancos de dados relacionais de código aberto fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e atue tendo uma compreensão mais ampla da natureza e do status do ataque em seu ambiente.
- Detecção de alertas comportamentais – o Azure Defender para bancos de dados relacionais open-source alerta sobre comportamentos suspeitos e inesperados em seus servidores, como por exemplo, alterações no padrão de acesso ao banco de dados.
- Detecção baseada em inteligência contra ameaças – o Azure Defender aplica a inteligência contra ameaças da Microsoft e a vasta base de dados de conhecimento para exibir alertas de ameaças para que você possa agir contra eles.
Saiba mais em Introdução ao Azure Defender para bancos de dados relacionais open-source.
Novos alertas do Azure Defender para Resource Manager
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Resource Manager, adicionamos os seguintes alertas:
| Alerta (tipo de alerta) | Description | Táticas mitre | Severity |
|---|---|---|---|
|
Permissões concedidas para uma função RBAC de uma maneira incomum para seu ambiente do Azure (versão prévia) (ARM_AnomalousRBACRoleAssignment) |
O Azure Defender para Resource Manager detectou uma atribuição de função RBAC incomum quando comparada com outras atribuições executadas pelo mesmo designador/executada para o mesmo destinatário/em seu locatário, devido às seguintes anomalias: hora de atribuição, local do designador, designador, método de autenticação, entidades atribuídas, software cliente usado, extensão de atribuição. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando conceder permissões a uma outra conta de usuário. | Movimento lateral, Evasão de defesa | Medium |
|
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia) (ARM_PrivilegedRoleDefinitionCreation) |
O Azure Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção. | Movimento lateral, Evasão de defesa | Low |
|
Operação do Azure Resource Manager a partir de um endereço IP suspeito (versão prévia) (ARM_OperationFromSuspiciousIP) |
O Azure Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. | Execution | Medium |
|
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (versão prévia) (ARM_OperationFromSuspiciousProxyIP) |
O Azure Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. | Evasão de defesa | Medium |
Para obter mais informações, consulte:
- Introdução ao Azure Defender para Resource Manager
- Responder aos alertas do Azure Defender para Resource Manager
- Lista de alertas fornecidos pelo Azure Defender para Resource Manager
Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (versão prévia)
O Azure Defender para registros de contêiner agora fornece observabilidade das equipes DevSecOps nos fluxos de trabalho do GitHub Action.
O novo recurso de verificação de vulnerabilidade para imagens de contêiner, utilizando o Trivy, ajuda você a verificar vulnerabilidades comuns em suas imagens de contêiner antes de enviar imagens por push para registros de contêiner.
Os relatórios de verificação de contêiner são resumidos na Central de Segurança do Azure, fornecendo às equipes de segurança, melhores insights e compreensão sobre a fonte de imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde elas se originam.
Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho CI/CD.
Mais consultas do Resource Graph disponíveis para algumas recomendações
Todas as recomendações da Central de Segurança têm a opção de exibir as informações sobre o status dos recursos afetados usando o Azure Resource Graph da consulta Open. Para obter detalhes completos sobre esse recurso poderoso, consulte Examinar dados de recomendação no Azure Resource Graph Explorer.
A Central de Segurança inclui verificadores de vulnerabilidades internos para examinar as VMs, servidores SQL e seus hosts e registros de contêiner contra vulnerabilidades de segurança. As conclusões são retornadas como recomendações mostradas uma única exibição, com todas as descobertas individuais de cada tipo de recurso coletado. As recomendações são:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas (da plataforma Qualys)
- As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas
Com essa alteração, você pode usar o botão Abrir consulta para também abrir a consulta mostrando as descobertas de segurança.
O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.
Saiba mais sobre os verificadores de vulnerabilidades da Central de Segurança:
- Verificador de vulnerabilidade da Qualys integrado ao Azure Defender para computador híbridos e do Azure
- Verificador de avaliação de vulnerabilidade integrado do Azure Defender para servidores SQL
- Verificador de avaliação de vulnerabilidade integrado do Azure Defender para registros de contêiner
Alterada a severidade da recomendação de classificação de dados SQL
A severidade da recomendação Os dados confidenciais nos bancos de dado SQL devem ser confidenciais foi alterada de Alta para Baixa.
Isso faz parte de uma mudança em curso para essa recomendação, anunciada em nossa página de alterações futuras.
Novas recomendações para habilitar recursos de início confiável (em versão prévia)
O Azure oferece o lançamento confiável como uma maneira perfeita de melhorar a segurança das VMs de geração 2 . O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas. Saiba mais em Início confiável para máquinas virtuais do Azure.
Important
O início confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
O início confiável está atualmente em visualização pública. Essa versão prévia é fornecida sem um Contrato de Nível de Serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.
A recomendação da Central de Segurança, vTPM deve ser habilitada em máquinas virtuais com suporte, garante que as VMs do Azure estejam usando um vTPM. Essa versão virtualizada de um Módulo de plataforma confiável de hardware habilita o atestado medindo toda a cadeia de inicialização da VM (UEFI, SO, sistema e drivers).
Com o vTPM habilitado, a extensão de Atestado de convidado pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:
- A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows
- A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Windows
- A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows
- A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux
- A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux
Saiba mais em Início confiável para máquinas virtuais do Azure.
Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)
As recomendações a seguir permitem que você proteja ainda mais os clusters Kubernetes
- Os clusters Kubernetes não devem usar o namespace padrão – evite o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado de tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount.
- Os clusters Kubernetes devem desabilitar a montagem automática de credenciais de API – para impedir que um recurso Pod possivelmente comprometido execute comandos de API em clusters Kubernetes, desabilite as credenciais da API de montagem automática.
- Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Saiba como a Central de Segurança pode proteger seus ambientes em contêineres em Segurança de contêiner na Central de Segurança.
API de avaliações expandida com dois novos campos
Adicionamos os dois campos a seguir à API REST de avaliações:
- FirstEvaluationDate – A hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
- StatusChangeDate – A hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.
O valor padrão inicial para esses campos - para todas as recomendações – é 2021-03-14T00:00:00+0000000Z.
Para acessar essas informações, use qualquer um dos métodos na tabela a seguir.
| Tool | Details |
|---|---|
| Chamada da API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Exportação contínua | Os dois campos dedicados estarão disponíveis nos dados do workspace do Log Analytics |
| Exportação de CSV | Os dois campos foram incluídos nos arquivos CSV |
Saiba mais sobre a API REST de avaliações.
O inventário de ativos obtém um filtro de ambiente de nuvem
A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.
Um novo filtro oferece a opção de refinar a lista de acordo com as contas de nuvem que você conectou ao recurso multinuvem da Central de Segurança.
Saiba mais sobre as funcionalidades de várias nuvens:
- Conectar as contas da AWS à Central de Segurança do Azure
- Conectar os projetos da GCP à Central de Segurança do Azure
Abril de 2021
As atualizações de abril incluem:
- Página de integridade de recursos atualizada (em versão prévia)
- As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para GA (disponibilidade geral))
- Use o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (versão prévia)
- Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows, lançada para GA (disponibilidade geral)
- Recomendações para habilitar o Azure Defender para DNS e o Resource Manager (versão prévia)
- Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia
- Quatro recomendações novas relacionadas à configuração de convidado (versão prévia)
- As recomendações do CMK foram movidas para o controle de segurança de melhores práticas
- Onze alertas do Azure Defender preteridos
- Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
- Azure Defender para SQL na peça do computador removida do painel do Azure Defender
- As recomendações foram movidas entre controles de segurança
Página de integridade de recursos atualizada (em versão prévia)
A integridade dos recursos foi expandida, aprimorada e melhorada para fornecer uma visão instantânea da integridade geral de um único recurso.
Examine informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançada do Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.
Para abrir a página de integridade de recursos, selecione qualquer recurso na página de inventário de ativos.
Esta página de versão prévia nas páginas do portal da Central de Segurança mostra:
- Informações de recurso – o grupo de recursos e a assinatura ao qual ele está anexado, a localização geográfica e muito mais.
- Recurso de segurança aplicado: indica se o Azure Defender está habilitado para o recurso.
- Contagens de recomendações e alertas pendentes: o número de recomendações de segurança pendentes e alertas do Azure Defender.
- Recomendações e alertas acionáveis: duas guias listam as recomendações e os alertas que se aplicam ao recurso.
Saiba mais em Tutorial: Investigar a integridade dos seus recursos.
As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para disponibilidade geral (GA))
O Azure Defender para registros de contêiner inclui um examinador de vulnerabilidades interno. Ele examina imediatamente qualquer imagem que você envia por push para o registro e qualquer imagem extraída nos últimos 30 dias.
Novas vulnerabilidades são descobertas todos os dias. Com essa atualização, as imagens de contêiner que foram extraídas de seus registros durante os últimos 30 dias serão examinadas novamente a cada semana. Isso garante que as vulnerabilidades recém-descobertas sejam identificadas em suas imagens.
O exame é cobrado por imagem, portanto, não há nenhum custo adicional para estes exames feitos novamente.
Saiba mais sobre este exame em Usar o Azure Defender para registros de contêiner para verificar se há vulnerabilidades em suas imagens.
Use o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (versão prévia)
O Azure Defender para Kubernetes está expandindo as funcionalidades de proteção contra ameaças para defender seus clusters onde quer que estejam implantados. Isso foi habilitado pela integração com o Kubernetes habilitado para Azure Arc e seus novos recursos de extensões.
Quando você tiver habilitado o Azure Arc nos clusters do Kubernetes não Azure, uma nova recomendação da Central de Segurança do Azure oferecerá implantar o agente do Azure Defender neles com apenas alguns cliques.
Use a recomendação (Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger os clusters do Kubernetes implantados em outros provedores de nuvem, embora não em seus serviços Kubernetes gerenciados.
Essa integração entre a Central de Segurança do Azure, o Azure Defender e o Kubernetes habilitado para Azure Arc traz:
- Provisionamento fácil do agente do Azure Defender para clusters do Kubernetes desprotegidos habilitados para Azure Arc (manualmente e em escala)
- Monitoramento do agente do Azure Defender e seu estado de provisionamento no portal do Azure Arc
- As recomendações de segurança da Central de Segurança são relatadas na nova Página de Segurança do Portal do Azure Arc
- As ameaças de segurança identificadas do Azure Defender são relatadas na nova página de segurança do portal do Azure Arc
- Os clusters do Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência da Central de Segurança do Azure
Saiba mais em Usar o Azure Defender para Kubernetes com seus clusters do Kubernetes locais e de várias nuvens.
Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows, lançada para GA (disponibilidade geral)
O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.
Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.
Note
Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.
Recomendações para habilitar o Azure Defender para DNS e o Resource Manager (versão prévia)
Duas novas recomendações foram adicionadas para simplificar o processo de habilitar o Azure Defender para Resource Manager e o Azure Defender para DNS:
- O Azure Defender para Resource Manager deve ser habilitado – O Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas.
- O Azure Defender para DNS deve ser habilitado – O Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem, monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Azure Defender alertará você sobre atividades suspeitas na camada DNS.
Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Tip
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.
Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia
Adicionamos três padrões para uso com a Central de Segurança do Azure. Usando o painel de conformidade regulatória, agora você pode controlar sua conformidade com:
Você pode atribuí-los a suas assinaturas, conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Saiba mais em:
- Personalizar o conjunto de padrões no seu painel de conformidade regulatória
- Tutorial: Melhorar sua conformidade regulatória
- Perguntas frequentes – Painel de conformidade regulatória
Quatro recomendações novas relacionadas à configuração de convidado (versão prévia)
A extensão da Configuração de Convidado do Azure relata à Central de Segurança para ajudar a garantir que as configurações das máquinas virtuais para convidados sejam protegidas. A extensão não é necessária para servidores habilitados para o Arc porque está incluída no agente do Computador Conectado ao Arc. A extensão requer uma identidade gerenciada pelo sistema no computador.
Adicionamos quatro novas recomendações à Central de Segurança para aproveitar ao máximo essa extensão.
Duas recomendações solicitam que você instale a extensão e a identidade obrigatória dela gerenciada pelo sistema:
- A extensão de Configuração de Convidado deve ser instalada nos seus computadores
- A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema
Quando a extensão estiver instalada e em execução, ela começará a auditar seus computadores e você será solicitado a proteger as configurações, como a configuração do sistema operacional e as configurações de ambiente. Essas duas recomendações solicitarão que você proteja seus computadores Windows e Linux conforme descrito:
- O Microsoft Defender Exploit Guard deve estar habilitado nos computadores
- A autenticação para computadores Linux deve exigir chaves SSH
Saiba mais em Entender a Configuração de Convidado do Azure Policy.
As recomendações do CMK foram movidas para o controle de segurança de melhores práticas
O programa de segurança de cada organização inclui os requisitos de criptografia de dados. Por padrão, os dados dos clientes do Azure são criptografados em repouso com chaves gerenciadas pelo serviço. Entretanto, as CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. As CMKs permitem que você criptografe os dados com uma chave do Azure Key Vault criada por você e de sua propriedade. Isso dá a você o controle e a responsabilidade total pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Os controles de segurança da Central de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Cada controle, tem um número máximo de pontos que você poderá adicionar à sua classificação de segurança se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança para Implementar as melhores práticas de segurança vale zero pontos. Portanto, as recomendações neste controle não afetam sua classificação de segurança.
As recomendações listadas abaixo estão sendo movidas para o controle de segurança para Implementar as melhores práticas de segurança para refletir melhor sua natureza opcional. Essa transferência garantirá que estas recomendações estejam no controle mais apropriado para atender ao respectivo objetivo.
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
- Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- As contas dos serviços de IA do Azure devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
- Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
- As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
- As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
11 alertas do Azure Defender preteridos
Os onze alertas do Azure Defender listados abaixo foram preteridos.
Novos alertas substituirão estes dois alertas e fornecerão uma cobertura melhor:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo VERSÃO PRÉVIA – Execução da função "Get-AzureDomainInfo" do kit de ferramentas do MicroBurst detectada ARM_MicroBurstRunbook VERSÃO PRÉVIA – Execução da função "Get-AzurePasswords" do kit de ferramentas do MicroBurst detectada Estes nove alertas estão relacionados a um IPC do AAD (conector do Azure Active Directory Identity Protection) que já foi preterido:
AlertType AlertDisplayName UnfamiliarLocation Propriedades de entrada desconhecidas AnonymousLogin Endereço IP anônimo InfectedDeviceLogin Endereço IP vinculado a malware ImpossibleTravel Viagem atípica MaliciousIP Endereço IP mal-intencionado LeakedCredentials Credenciais vazadas PasswordSpray Pulverização de senha LeakedCredentials Inteligência contra ameaças do Azure AD AADAI IA do Azure AD Tip
Esses nove alertas do IPC nunca foram alertas da Central de Segurança. Eles fazem parte do IPC (conector do Azure Active Directory Identity Protection) que os enviava para a Central de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O IPC do Azure Active Directory continuou a mostrá-los em seus próprios sistemas de alertas e eles continuaram disponíveis no Microsoft Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.
Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
As duas recomendações seguintes foram preteridas e as alterações podem resultar em um pequeno impacto na sua classificação de segurança:
- Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas
- O agente de monitoramento deve ser instalado em seus computadores. Essa recomendação está relacionada somente a computadores locais e uma parte da lógica dela será transferida para outra recomendação, Problemas de integridade do agente do Log Analytics devem ser resolvidos em seus computadores
É recomendável verificar suas configurações de exportação contínua e automação de fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, painéis ou outras ferramentas de monitoramento que possam estar as usando devem ser atualizados de acordo.
Azure Defender para SQL na peça do computador removida do painel do Azure Defender
A área de cobertura do painel do Azure Defender inclui blocos para os planos relevantes do Azure Defender para seu ambiente. Devido a um problema com o relatório dos números de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos para o Azure Defender para SQL em computadores até que o problema seja resolvido.
Recomendações movidas entre controles de segurança
As recomendações a seguir foram transferidas para controles de segurança diferentes. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Essa transferência garantirá que cada uma dessas recomendações esteja no controle mais apropriado para atender ao respectivo objetivo.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
| Recommendation | Alteração e respectivo impacto |
|---|---|
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL A avaliação de vulnerabilidades deve ser habilitada nas instâncias gerenciadas do SQL As vulnerabilidades encontradas nos bancos de dados SQL deverão ser corrigidas novamente As vulnerabilidades nos seus bancos de dados SQL em VMs devem ser corrigidas |
Passando de Corrigir vulnerabilidades (vale seis pontos) para Corrigir configurações de segurança (vale quatro pontos). Essas recomendações terão um impacto reduzido em sua pontuação, dependendo do ambiente. |
| Deve haver mais de um proprietário atribuído à sua assinatura As variáveis da conta de automação devem ser criptografadas Dispositivos IoT – O processo auditado parou de enviar eventos Dispositivos IoT – Houve uma falha na validação de linha de base do sistema operacional Dispositivos IoT – É preciso atualizar o pacote de criptografia do TLS Dispositivos IoT – Abrir portas no dispositivo Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída Os logs de diagnóstico no Hub IoT devem ser habilitados Dispositivos IoT – O agente está enviando mensagens subutilizadas Dispositivos IoT – A política de filtro IP padrão deverá ser negada Dispositivos IoT – A regra de filtro IP é maior do que o intervalo de IP Dispositivos IoT – Os intervalos e o tamanho das mensagens do agente deverão ser ajustados Dispositivos IoT – As credenciais de autenticação são idênticas Dispositivos IoT – O processo auditado parou de enviar eventos Dispositivos IoT – A configuração de linha de base do SO (sistema operacional) deverá ser corrigida |
Como executar uma transferência para a opção Implementar práticas recomendadas de segurança. Ao transferir uma recomendação para a opção Implementar o controle de segurança de práticas recomendadas de segurança, que não vale pontos, a recomendação não afetará mais sua classificação de segurança. |
Março de 2021
As atualizações de março incluem:
- Gerenciamento de Firewall do Azure integrado à Central de Segurança
- Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)
- Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
- Agora o painel de conformidade regulatória inclui os relatórios de auditoria do Azure (versão prévia)
- Os dados de recomendação podem ser exibidos no Azure Resource Graph com "Explorar no ARG"
- Atualizações das políticas para implantar a automação do fluxo de trabalho
- Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
- Aprimoramentos na página de recomendações
Gerenciamento de Firewall do Azure integrado à Central de Segurança
Quando você abre a Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.
Esse painel interativo fornece uma exibição unificada da postura de segurança das cargas de trabalho de nuvem híbrida. Além disso, ela mostra alertas de segurança, informações de cobertura, entre outros.
Como parte da ajuda para exibir o status de segurança de uma experiência central, integramos o Gerenciador de Firewall do Azure a esse painel. Agora você pode verificar o status de cobertura do Firewall em todas as redes e gerenciar de forma centralizada as políticas de Firewall do Azure a partir da Central de Segurança.
Saiba mais sobre esse painel na página de visão geral da Central de Segurança do Azure.
Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)
A Central de Segurança inclui um scanner de vulnerabilidades interno para ajudar a descobrir, acompanhar e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança dos computadores SQL e detalhes sobre eventuais descobertas de segurança.
Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.
Saiba mais em Desabilitar descobertas específicas.
Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
Como parte do Ignite Spring 2021, anunciamos uma experiência integrada das Pastas de Trabalho do Azure Monitor na Central de Segurança.
Você pode usar a nova integração para começar a usar os modelos prontos para uso da galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, você pode criar novas pastas de trabalho com base nos dados da Central de Segurança ou em qualquer outro tipo de dados com suporte e implantar rapidamente as pastas de trabalho da comunidade do GitHub da Central de Segurança.
São fornecidos três relatórios de modelos:
- Classificação de segurança ao longo do tempo – Acompanhar as pontuações das assinaturas e as alterações das recomendações para os recursos
- Atualizações do sistema – exibir atualizações de sistema ausentes por recursos, sistema operacional, severidade e muito mais
- Descobertas da avaliação de vulnerabilidade – Exibir as descobertas das verificações de vulnerabilidade dos recursos do Azure
Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.
Agora o painel de conformidade regulatória inclui os relatórios de auditoria do Azure (versão prévia)
Na barra de ferramentas do painel de conformidade regulatória, agora você pode baixar relatórios de certificação do Azure e do Dynamics.
Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.
Saiba mais sobre Como gerenciar os padrões no painel de conformidade regulatória.
Os dados de recomendação podem ser exibidos no Azure Resource Graph com "Explorar no ARG"
As páginas de detalhes de recomendação agora incluem o botão de barra de ferramentas "Explorar no ARG". Use esse botão para abrir uma consulta do Azure Resource Graph e explorar, exportar e compartilhar os dados da recomendação.
O ARG (Azure Resource Graph) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.
Saiba mais sobre o Azure Resource Graph.
Atualizações das políticas para implantar a automação do fluxo de trabalho
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.
Fornecemos três políticas 'DeployIfNotExist' do Azure Policy que criam e configuram os procedimentos de automação do fluxo de trabalho para que você possa implantar as automações na organização:
| Goal | Policy | ID da Política |
|---|---|---|
| Automação de fluxo de trabalho para alertas de segurança | Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação de fluxo de trabalho para recomendações de segurança | Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automação do fluxo de trabalho para alterações de conformidade regulatória | Implantar a Automação de Fluxo de Trabalho para conformidade regulatória da Central de Segurança do Azure | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Há duas atualizações para os recursos dessas políticas:
- Quando atribuídas, elas permanecerão habilitadas por aplicação.
- Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.
Introdução aos modelos de automação de fluxo de trabalho.
Saiba mais sobre como Automatizar respostas para os gatilhos da Central de Segurança.
Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
A Central de Segurança transmite os dados de quase todas as recomendações de segurança para o Assistente do Azure, que, por sua vez, grava-os no log de atividades do Azure.
Para duas recomendações, os dados são gravados de modo simultâneo diretamente no log de atividades do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, os dados são exportados para o Assistente do Azure, assim como todas as outras recomendações.
As duas recomendações herdadas são:
- Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores
- As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas
Se você estiver acessando informações dessas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, isso não estará mais disponível.
Aprimoramentos na página de recomendações
Lançamos uma versão aprimorada da lista de recomendações para apresentar mais informações em uma visão rápida.
Agora, na página, você verá:
- A pontuação máxima e a pontuação atual de cada controle de segurança.
- Ícones substituindo marcas como Correção e Visualização.
- Uma nova coluna mostrando a iniciativa Política relacionada a cada recomendação – visível quando "Agrupar por controles" é desabilitado.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
Fevereiro de 2021
As atualizações de fevereiro incluem:
- Nova página de alertas de segurança no portal do Azure lançada para GA (disponibilidade geral)
- Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)
- Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (na versão prévia)
- Link direto para a política na página de detalhes da recomendação
- A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança
- As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)
- Aprimoramentos de página de inventário de ativos
Nova página de alertas de segurança no portal do Azure lançada para GA (disponibilidade geral)
A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:
- Experiência de triagem aprimorada para alertas – ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento.
- Mais informações na lista de alertas – como táticas MITRE ATT&ACK.
- Botão para criação de alertas de exemplo – para avaliar as funcionalidades do Azure Defender e testar a sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender.
- Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender a usar deles com base no conhecimento adquirido com o outro.
- Melhor desempenho para listas de alertas grandes.
- Navegação de teclado por meio da lista de alertas.
- Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
- Recurso de criação de alertas de exemplo – para criar alertas de exemplo por meio da nova experiência de alertas, confira Gerar alertas de exemplo do Azure Defender.
Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)
Estamos felizes em anunciar a GA (disponibilidade geral) do conjunto de recomendações para proteções de cargas de trabalho do Kubernetes.
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
Quando o Azure Policy para Kubernetes for instalado no seu cluster do Serviço de Kubernetes do Azure (AKS), todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas - exibidas como 13 recomendações de segurança - antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.
Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.
Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.
Note
Enquanto as recomendações estavam em versão prévia, elas não renderizavam um recurso de cluster do AKS não íntegro e não eram incluídas nos cálculos da sua classificação de segurança. Com esse anúncio de GA, elas serão incluídas no cálculo de pontuação. Se você ainda não corrigiu, isso pode resultar em um pequeno impacto em sua classificação de segurança. Corrija-as sempre que possível, conforme descrito em Corrigir recomendações na Central de Segurança do Azure.
Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (na versão prévia)
O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.
Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.
Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.
Note
Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.
Link direto para a política na página de detalhes da recomendação
Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação com suporte de uma política, há um novo link na página de detalhes da recomendação:
Use esse link para ver a definição de política e examinar a lógica de avaliação.
A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança
A recomendação Os dados confidenciais nos seus bancos de dados SQL devem ser classificados não afetará mais sua classificação de segurança. O controle de segurança Aplicar classificação de dados que a contém agora tem um valor de pontuação de segurança de 0.
Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.
As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)
Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.
Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.
Aprimoramentos de página de inventário de ativos
A página de inventário de ativos da Central de Segurança foi aprimorada:
Os resumos na parte superior da página agora incluem assinaturas não registradas, mostrando o número de assinaturas sem a Central de Segurança habilitada.
Os filtros foram expandidos e aprimorados para incluir:
Contagens – Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria
Contém filtro de isenções (opcional) – Restrinja os resultados a recursos que têm/não têm isenções. Esse filtro não é mostrado por padrão, mas é acessível a partir do botão Adicionar filtro .
Saiba mais sobre como Explorar e gerenciar seus recursos com o inventário de ativos.
Janeiro de 2021
As atualizações em janeiro incluem:
- O Azure Security Benchmark agora é a iniciativa de política padrão da Central de Segurança do Azure
- A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)
- A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia
- API de classificação de segurança lançada para GA (disponibilidade geral)
- Proteções de DNS pendentes e adicionadas ao Azure Defender para o Serviço de Aplicativo
- Conectores multinuvem lançados para GA (Disponibilidade Geral)
- Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento
- Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global
- 35 recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark
- Exportação de CSV da lista de recomendações filtrada
- Recursos "não aplicáveis" que agora são relatados como "em conformidade" nas avaliações do Azure Policy
- Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)
O Azure Security Benchmark agora é a iniciativa de política padrão da Central de Segurança do Azure
O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft com as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.
Nos últimos meses, a lista da Central de Segurança de recomendações de segurança internas cresceu significativamente expandindo nossa cobertura desse parâmetro de comparação.
A partir desta versão, o parâmetro de comparação é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.
Todos os serviços do Azure têm uma página de linha de base de segurança na documentação. Essas linhas de base são criadas no Azure Security Benchmark.
Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do parâmetro de comparação durante um período de transição:
As recomendações existentes não são afetadas e, conforme o parâmetro de comparação cresce, as alterações serão refletidas automaticamente na Central de Segurança.
Para saber mais, confira as seguintes páginas:
- Saiba mais sobre o Azure Security Benchmark
- Personalizar o conjunto de padrões no seu painel de conformidade regulatória
A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)
Em outubro, anunciamos uma versão prévia para a verificação de servidores habilitados para Azure Arc com um verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores(da plataforma Qualys).
Ela agora foi lançada para GA (disponibilidade geral).
Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.
Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.
Principais recursos:
- Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
- Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
- Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e computadores do Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia
A página de classificação de segurança agora mostra as classificações de segurança agregadas dos seus grupos de gerenciamento, além do nível de assinatura. Agora, você pode ver a lista de grupos de gerenciamento na sua organização e a pontuação de cada grupo de gerenciamento.
Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.
API de classificação de segurança lançada para GA (disponibilidade geral)
Agora é possível acessar sua classificação por meio de uma API de classificação de segurança. Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo:
- usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica
- use a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas
Saiba mais sobre as ferramentas externas que são possíveis com a API de classificação de segurança na área de classificação de segurança da nossa comunidade do GitHub.
Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.
Proteções de DNS pendentes e adicionadas ao Azure Defender para o Serviço de Aplicativo
As invasões de subdomínios são uma ameaça comum de gravidade alta para as organizações. Uma tomada de controle de subdomínio poderá ocorrer quando um registro DNS indicar um site desprovisionado. Esses registros DNS também são conhecidos como entradas "DNS pendentes". Os registros CNAME são particularmente vulneráveis a essa ameaça.
As invasões de subdomínio permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
O Azure Defender para o Serviço de Aplicativo agora detecta entradas DNS pendentes quando um site do Serviço de Aplicativo é encerrado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe e seu site está vulnerável a um controle de subdomínio. Essas proteções estarão disponíveis caso seus domínios sejam gerenciados usando o DNS do Azure ou um registrador de domínios externo. Além disso, elas se aplicam ao Serviço de Aplicativo no Windows e ao Serviço de Aplicativo no Linux.
Saiba Mais:
- Tabela de referência de alertas do Serviço de Aplicativo – Inclui dois novos alertas do Azure Defender que disparam quando uma entrada DNS pendente é detectada
- Impedir a ocorrência de entradas DNS pendentes e evitar a tomada de controle de subdomínio – Saiba mais sobre aspectos da ameaça de tomada de controle de subdomínio e de um DNS pendente
- Introdução ao Azure Defender para Serviço de Aplicativo
Conectores multinuvem lançados para GA (Disponibilidade Geral)
Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.
A Central de Segurança do Azure protege as cargas de trabalho no Azure, na AWS (Amazon Web Services) e no GCP (Google Cloud Platform).
Conectar seus projetos da AWS ou da GCP integrará ferramentas de segurança nativas, como o AWS Security Hub e o Centro de Comando de Segurança da GCP, à Central de Segurança do Azure.
Essa funcionalidade significa que a Central de Segurança fornece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios dessa integração:
- Provisionamento automático de agente – A Central de Segurança usa o Azure Arc para implantar o agente do Log Analytics nas instâncias da AWS
- Gerenciamento de políticas
- Gerenciamento de vulnerabilidades
- Detecção e Resposta de Ponto de Extremidade Inserido (EDR)
- Detecção de configurações incorretas de segurança
- Uma exibição que mostra as recomendações de segurança de todos os provedores de nuvem
- Incorporar todos os recursos aos cálculos de classificação de segurança da Central de Segurança
- Avaliações de conformidade regulatória dos recursos da AWS e da GCP
No menu do Defender para Nuvem, selecione conectores multinuvem e você verá as opções para criar novos conectores:
Saiba mais em:
- Conectar as contas da AWS à Central de Segurança do Azure
- Conectar os projetos da GCP à Central de Segurança do Azure
Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento
Estamos expandindo a funcionalidade de isenção para incluir recomendações inteiras. Fornecendo mais opções para ajustar as recomendações de segurança que a Central de Segurança faz para as suas assinaturas, grupo de gerenciamento ou recursos.
Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que não foi detectada pela Central de Segurança. Ou uma recomendação será mostrada em um escopo no qual você acha que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados à recomendação ou ao recurso específico.
Com essa versão prévia do recurso, agora você pode criar uma isenção de uma recomendação para:
Isentar um recurso para garantir que ele não esteja listado com os recursos não íntegros no futuro e não afete a sua classificação de segurança. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma assinatura ou grupo de gerenciamento para garantir que a recomendação não afete a sua classificação de segurança e não seja mostrada para a assinatura ou grupo de gerenciamento no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você criar no futuro. A recomendação será marcada com a justificativa específica selecionada para o escopo que você selecionou.
Saiba mais em Isentando recursos e recomendações da sua classificação de segurança.
Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global
Caso não tenham permissões para conferir os dados da Central de Segurança, os usuários agora podem acessar um link para solicitar permissões ao administrador global da organização. A solicitação inclui a função que ele deseja e a justificativa do por que ela é necessária.
Saiba mais em Solicitar permissões em todo o locatário quando as suas forem insuficientes.
35 recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é a iniciativa de política padrão na Central de Segurança do Azure.
Para aumentar a cobertura desse parâmetro de comparação, as 35 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança.
Tip
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.
| Controle de segurança | Novas recomendações |
|---|---|
| Habilitar a criptografia em repouso | – As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos – Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente) – A proteção de dados do Bring Your Own Key será habilitada para servidores MySQL – A proteção de dados do Bring Your Own Key será habilitada para servidores PostgreSQL - As contas dos serviços de IA do Azure devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente) – Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente) – As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos – Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos – As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia |
| Implementar melhores práticas de segurança | – As assinaturas devem ter um endereço de email de contato para problemas de segurança - O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura – A notificação por email para alertas de alta severidade deve ser habilitada – A notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada – Os cofres de chaves devem ter a proteção contra limpeza habilitada – Os cofres de chaves devem ter a exclusão temporária habilitada |
| Gerenciar acesso e permissões | – Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada |
| Proteger os aplicativos contra DDoS | – O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo – O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço Azure Front Door Service |
| Restringir acesso não autorizado à rede | – O firewall deve ser habilitado no Key Vault – O ponto de extremidade privado deve ser configurado para o Key Vault – A Configuração de Aplicativos deve usar um link privado – O Cache do Azure para Redis deve residir em uma rede virtual – Os domínios da Grade de Eventos do Azure devem usar um link privado – Os tópicos da Grade de Eventos do Azure devem usar um link privado – Os workspaces do Azure Machine Learning devem usar um link privado – O Serviço do Azure SignalR deve usar um link privado – O Azure Spring Cloud deve usar uma injeção de rede – Os registros de contêiner não devem permitir acesso irrestrito à rede – Os registros de contêiner devem usar um link privado – O acesso à rede pública deve ser desabilitado para servidores MariaDB – O acesso à rede pública deve ser desabilitado para servidores MySQL – O acesso à rede pública deve ser desabilitado para servidores PostgreSQL – A conta de armazenamento deve usar uma conexão de link privado – As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual – Os modelos do Construtor de Imagens de VM devem usar um link privado |
Ligações relacionadas:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre o Banco de Dados do Azure para MariaDB
- Saiba mais sobre o Banco de Dados do Azure para MySQL
- Saiba mais sobre o Banco de Dados do Azure para PostgreSQL
Exportação de CSV da lista de recomendações filtrada
Em novembro de 2020, adicionamos filtros à página de recomendações.
Com este comunicado, estamos alterando o comportamento do botão Baixar para CSV para que a exportação de CSV inclua apenas as recomendações atualmente exibidas na lista filtrada.
Por exemplo, na imagem abaixo, você pode ver que a lista foi filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
Recursos "não aplicáveis" que agora são relatados como "em conformidade" nas avaliações do Azure Policy
Anteriormente, os recursos que eram avaliados para uma recomendação e que não eram aplicáveis apareciam no Azure Policy como "não compatíveis". Nenhuma ação do usuário poderia alterar o estado deles para "Em conformidade". Com essa alteração, os recursos agora são relatados como "em conformidade" para maior clareza.
O único impacto será visto no Azure Policy, em que o número de recursos em conformidade aumentará. Não haverá nenhum impacto na sua classificação de segurança na Central de Segurança do Azure.
Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)
Adicionamos um novo recurso de visualização às ferramentas de exportação contínuas para exportar instantâneos semanais de dados de pontuação segura e conformidade regulatória.
Ao definir uma exportação contínua, defina a frequência de exportação:
- Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
- Instantâneos – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado toda semana (este é um recurso de visualização para instantâneos semanais de pontuações seguras e dados de conformidade regulatória).
Saiba mais sobre as funcionalidades completas desse recurso em Exportar continuamente os dados da Central de Segurança.
Dezembro de 2020
As atualizações de dezembro incluem:
- O Azure Defender para SQL Servers em computadores está em disponibilidade geral
- O suporte do Azure Defender para SQL para o pool de SQL dedicado do Azure Synapse Analytics está em disponibilidade geral
- Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários
- Dois novos planos do Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)
- Nova página de alertas de segurança no portal do Azure (versão prévia)
- Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL
- Ferramentas e filtros de inventário de ativos atualizados
- Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança
- A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis
- A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas
O Azure Defender para SQL Servers em computadores está em disponibilidade geral
A Central de Segurança do Azure oferece dois planos do Azure Defender para SQL Servers:
- Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
- Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais
Com esse comunicado, o Azure Defender para SQL agora protege os seus bancos de dados e os dados neles, independentemente de onde eles estiverem localizados.
O Azure Defender para SQL inclui funcionalidades de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidade inclui os seguintes recursos avançados:
- Configuração de linha de base (Novo!) para refinar de forma inteligente os resultados de verificações de vulnerabilidade para aqueles que podem representar problemas reais de segurança. Depois de estabelecer o estado de segurança de linha de base, a ferramenta de avaliação de vulnerabilidade só relata desvios desse estado de linha de base. Os resultados que correspondem à linha de base são considerados ao passar nas verificações posteriores. Isso permite que você e os analistas concentrem a atenção onde importa.
- As Informações detalhadas de benchmark ajudam você a entender as descobertas e por que elas se relacionam com os seus recursos.
- Scripts de correção para ajudá-lo a reduzir os riscos identificados.
Saiba mais sobre o Azure Defender para SQL.
O suporte do Azure Defender para SQL para o pool de SQL dedicado do Azure Synapse Analytics está em disponibilidade geral
O Azure Synapse Analytics (antigo SQL DW) é um serviço de análise que combina o data warehouse corporativo e a análise de Big Data. Os pools de SQL dedicados são os recursos de data warehouse corporativos do Azure Synapse. Saiba mais em O que é o Azure Synapse Analytics (antigo SQL DW)?.
O Azure Defender para SQL protege os seus pools de SQL dedicados com:
- Proteção avançada contra ameaças para detectar ameaças e ataques
- Funcionalidades de avaliação de vulnerabilidade para identificar e corrigir configurações incorretas de segurança
O suporte do Azure Defender para SQL para os pools de SQL do Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure na Central de Segurança do Azure. Há uma nova guia Azure Defender para SQL na página do workspace do Synapse no portal do Azure.
Saiba mais sobre o Azure Defender para SQL.
Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários
Um usuário com a função de Administrador Global do Azure Active Directory pode ter responsabilidades em todo o locatário, mas não tem as permissões do Azure para exibir essas informações em toda a organização na Central de Segurança do Azure.
Para atribuir a si mesmo permissões no nível dos locatários, siga as instruções descritas em Conceder a si mesmo permissões em todo o locatário.
Dois novos planos do Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)
Adicionamos duas novas funcionalidades de proteção contra ameaças com abrangência nativa de nuvem para seu ambiente do Azure.
Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender para Resource Manager: monitora automaticamente todas as operações de gerenciamento de recursos executadas na sua organização. Para obter mais informações, consulte:
Azure Defender para DNS: monitora continuamente todas as consultas DNS dos seus recursos do Azure. Para obter mais informações, consulte:
Nova página de alertas de segurança no portal do Azure (versão prévia)
A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:
- Experiência de triagem aprimorada para alertas –ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento
- Mais informações na lista de alertas – como táticas MITRE ATT&ACK
- Botão para criar alertas de exemplo – para avaliar os recursos do Azure Defender e testar sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender
- Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender um do outro
- Melhor desempenho para listas de alertas grandes
- Navegação de teclado por meio da lista de alertas
- Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
Para acessar a nova experiência, use o link "Experimente agora" da faixa na parte superior da página de alertas de segurança.
Para criar alertas de exemplo na nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.
Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL
A experiência da Central de Segurança no SQL fornece acesso aos seguintes recursos da Central de Segurança e do Azure Defender para SQL:
- Recomendações de segurança – a Central de Segurança analisa periodicamente o estado de segurança de todos os recursos conectados do Azure para identificar possíveis configurações incorretas de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
- Alertas de segurança – um serviço de detecção que monitora continuamente as atividades do SQL do Azure para ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Esse serviço dispara alertas de segurança detalhados e orientados para a ação na Central de Segurança e fornece opções para continuar as investigações com o Microsoft Sentinel, a solução SIEM nativa do Azure da Microsoft.
- Descobertas – um serviço de avaliação de vulnerabilidade que monitora continuamente as configurações do SQL do Azure e ajuda a corrigir vulnerabilidades. As verificações de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure junto com as descobertas de segurança detalhadas.
Ferramentas e filtros de inventário de ativos atualizados
A página de inventário na Central de Segurança do Azure foi atualizada com as seguintes alterações:
Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.
Filtro de assinaturas adicionado aos filtros padrão disponíveis para seus recursos.
Abra o link de consulta para abrir as opções de filtro atuais como uma consulta do Azure Resource Graph (anteriormente chamada "Exibir no gerenciador de grafo de recursos").
Opções de operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira localizar todos os recursos com recomendações ativas cujos títulos incluem a cadeia de caracteres "encrypt".
Saiba mais sobre inventário em Explorar e gerenciar seus recursos com o inventário de ativos.
Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança
A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada" foi movida do controle de segurança Gerenciar o acesso e as permissões (vale no máximo quatro pontos) para Implementar as melhores práticas de segurança (que não vale nenhum ponto).
Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, é irrelevante. se você acessar seu site por HTTP e não por HTTPS, você não receberá nenhum certificado do cliente. Por isso, se o aplicativo exigir certificados de cliente, você não deverá permitir solicitações ao seu aplicativo via HTTP. Saiba mais em Como configurar a autenticação mútua TLS para o Serviço de Aplicativo do Azure.
Com essa alteração, a recomendação agora é uma prática recomendada que não afetará sua classificação.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis
A Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e os padrões relevantes para sua organização, setor e país/região.
À medida que a Central de Segurança continua a expandir sua cobertura e seus recursos, a lista de recomendações de segurança cresce todos os meses. Por exemplo, confira Vinte e nove recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark.
Com a lista cada vez maior, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionamos filtros à página de recomendações (confira A lista de recomendações agora inclui filtros).
Os filtros adicionados neste mês fornecem opções para refinar a lista de recomendações de acordo com:
Ambiente – Exibir recomendações para seus recursos do AWS, GCP ou Azure (ou qualquer combinação)
Severidade – Exibir recomendações de acordo com a classificação de severidade definida pela Central de Segurança
Ações de resposta – Exibir recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor
Tip
O filtro de ações de resposta substitui o filtro de correção rápida disponível (Sim/Não) .
Saiba mais sobre cada uma dessas opções de resposta:
A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas
As ferramentas de exportação contínua da Central de Segurança do Azure permitem exportar recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.
A exportação contínua permite que você personalize totalmente o que será exportado e o local da exportação. Para obter detalhes completos, confira Exportar continuamente dados da Central de Segurança.
Essas ferramentas foram aprimoradas e expandidas das seguintes maneiras:
Aprimoramento das políticas deployifnotexist da exportação contínua. As políticas agora:
Verificam se a configuração está habilitada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos do Azure Policy fornecidos na guia "Implantar em escala usando o Azure Policy" da opção Configurar uma exportação contínua.
Dão suporte à exportação de descobertas de segurança. Ao usar os modelos do Azure Policy, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações com "sub" recomendações, como as descobertas de verificações de avaliação de vulnerabilidade ou atualizações de sistema específicas para a recomendação "pai" "As atualizações do sistema devem ser instaladas em seus computadores".
Dão suporte à exportação de dados da classificação de segurança.
Dados de avaliação de conformidade regulatória adicionados (em versão prévia). Agora você pode exportar atualizações continuamente para avaliações de conformidade regulatória, incluindo para qualquer iniciativa personalizada, para um workspace do Log Analytics ou hub de eventos. Este recurso não está disponível em nuvens nacionais.
Novembro de 2020
As atualizações de novembro incluem:
- 29 recomendações de versão prévia adicionadas para aumentar a cobertura do Parâmetro de Comparação de Segurança do Azure
- NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança
- A lista de recomendações agora inclui filtros
- Experiência de provisionamento automático aprimorada e expandida
- A classificação de segurança já está disponível na exportação contínua (versão prévia)
- A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações
- A página de gerenciamento de política no portal do Azure agora mostra o status das atribuições de política padrão
29 recomendações de versão prévia adicionadas para aumentar a cobertura do Parâmetro de Comparação de Segurança do Azure
O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Saiba mais sobre o Azure Security Benchmark.
As 29 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança para aumentar a cobertura desse parâmetro de comparação.
As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.
| Controle de segurança | Novas recomendações |
|---|---|
| Criptografar dados em trânsito | – Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL – Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL – O TLS deve estar atualizado com a última versão para o aplicativo de API – O TLS deve estar atualizado com a última versão para o aplicativo de funções – O TLS deve estar atualizado com a última versão para o aplicativo Web – O FTPS deve ser exigido no aplicativo de API – O FTPS deve ser exigido no aplicativo de funções – O FTPS deve ser exigido no aplicativo Web |
| Gerenciar acesso e permissões | – Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada – A identidade gerenciada deve ser usada no aplicativo de API – A identidade gerenciada deve ser usada no aplicativo de funções – A identidade gerenciada deve ser usada no aplicativo Web |
| Restringir acesso não autorizado à rede | – O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL – O ponto de extremidade privado deve ser habilitado para servidores MariaDB – O ponto de extremidade privado deve ser habilitado para servidores MySQL |
| – Habilitar a auditoria e o registro em log | – Os logs de diagnóstico devem ser habilitados nos Serviços de Aplicativo |
| Implementar melhores práticas de segurança | – O Backup do Azure deve ser habilitado para máquinas virtuais – O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB – O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL – O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL – O PHP deve estar atualizado com a última versão para o aplicativo de API – O PHP deve estar atualizado com a última versão para o aplicativo Web – O Java deve estar atualizado com a última versão para o aplicativo de API – O Java deve estar atualizado com a última versão para o aplicativo de funções – O Java deve estar atualizado com a última versão para o aplicativo Web – O Python deve estar atualizado com a última versão para o aplicativo de API – O Python deve estar atualizado com a última versão para o aplicativo de funções – O Python deve estar atualizado com a última versão para o aplicativo Web – A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias |
Ligações relacionadas:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre aplicativos de API do Azure
- Saiba mais sobre aplicativos de funções do Azure
- Saiba mais sobre aplicativos Web do Azure
- Saiba mais sobre o Banco de Dados do Azure para MariaDB
- Saiba mais sobre o Banco de Dados do Azure para MySQL
- Saiba mais sobre o Banco de Dados do Azure para PostgreSQL
NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança
O padrão NIST SP 800-171 R2 já está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de Conformidade Regulatória do NIST SP 800-171 R2.
Para aplicar o padrão às suas assinaturas e monitorar continuamente o status de conformidade, use as instruções presentes em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
A lista de recomendações agora inclui filtros
Agora você pode filtrar a lista de recomendações de segurança com base em uma gama de critérios. No seguinte exemplo, a lista de recomendações foi filtrada para mostrar recomendações que:
- geralmente estão disponíveis (ou seja, não versão prévia)
- são para contas de armazenamento
- dar suporte à correção rápida
Experiência de provisionamento automático aprimorada e expandida
O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs novas e existentes do Azure, a fim de que elas possam se beneficiar das proteções da Central de Segurança.
À medida que a Central de Segurança do Azure cresce, mais extensões são desenvolvidas e é possível monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático já foram expandidas para dar suporte a outras extensões e tipos de recursos aproveitando as funcionalidades do Azure Policy.
Agora você pode configurar o provisionamento automático de:
- Agente do Log Analytics
- (Novo) Azure Policy para Kubernetes
- (Novo) Microsoft Dependency Agent
Saiba mais em Agentes e extensões de provisionamento automático da Central de Segurança do Azure.
A classificação de segurança já está disponível na exportação contínua (versão prévia)
Com a exportação contínua da classificação de segurança, você pode transmitir alterações à sua pontuação em tempo real para os Hubs de Eventos do Azure ou um workspace do Log Analytics. Use essa funcionalidade para:
- acompanhar sua classificação de segurança ao longo do tempo com relatórios dinâmicos
- exportar dados de classificação segura para o Microsoft Sentinel (ou qualquer outro SIEM)
- integrar esses dados a qualquer processo que você já esteja usando para monitorar a classificação de segurança em sua organização
Saiba mais sobre como Exportar continuamente dados da Central de Segurança.
A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações
A recomendação As atualizações do sistema devem ser instaladas nos computadores foi aprimorada. A nova versão inclui sub-recomendações para cada atualização ausente e fornece os seguintes aprimoramentos:
Uma experiência reformulada nas páginas da Central de Segurança do Azure do portal do Azure. A página de detalhes da recomendação para As atualizações do sistema devem ser instaladas nos computadores inclui a lista de conclusões, conforme mostrado abaixo. Quando você seleciona uma localização individual, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.
Dados aprimorados para a recomendação do ARG (Azure Resource Graph). O ARG é um serviço do Azure que foi projetado para oferecer uma exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas a fim de controlar seu ambiente de maneira eficaz.
Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança.
Anteriormente, se você consultasse essa recomendação no ARG, a única informação disponível seria que a recomendação precisava ser corrigida em um computador. A consulta a seguir da versão aprimorada retornará todas as atualizações de sistema ausentes agrupadas por computador.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
A página de gerenciamento de política no portal do Azure agora mostra o status das atribuições de política padrão
Agora você pode ver se suas assinaturas têm ou não a política padrão da Central de Segurança atribuída, na página de política de segurança da Central de Segurança do portal do Azure.
Outubro de 2020
As atualizações de outubro incluem:
- Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)
- Recomendação do Firewall do Azure adicionada (versão prévia)
- Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida
- O painel de conformidade regulatória agora inclui a opção de remoção de padrões
- Tabela Microsoft.Security/securityStatuses removida do Azure Resource Graph
Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)
O verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores (da plataforma Qualys) agora examina servidores habilitados para Azure Arc.
Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.
Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.
Principais recursos:
- Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
- Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
- Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e computadores do Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
Recomendação do Firewall do Azure adicionada (versão prévia)
Uma nova recomendação foi adicionada para proteger todas as suas redes virtuais com o Firewall do Azure.
A recomendação, Redes virtuais devem ser protegidas pelo Firewall do Azure, aconselha você a restringir o acesso às suas redes virtuais e evitar possíveis ameaças usando o Firewall do Azure.
Saiba mais sobre o Firewall do Azure.
Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida
A recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes agora tem uma opção de correção rápida.
O painel de conformidade regulatória agora inclui a opção de remoção de padrões
O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a requisitos e controles de conformidade específicos.
O painel inclui um conjunto padrão de padrões regulatórios. Se um dos padrões fornecidos não é relevante para sua organização, removê-los da interface do usuário de uma assinatura passou a ser um processo simples. Os padrões só podem ser removidos no nível da assinatura ; não o escopo do grupo de gerenciamento.
Saiba mais em Remover um padrão de seu painel.
Tabela Microsoft.Security/securityStatuses removida do ARG (Azure Resource Graph)
O Azure Resource Graph é um serviço no Azure desenvolvido para fornecer exploração de recursos eficiente, com a capacidade de consultar em escala um determinado conjunto de assinaturas, permitindo a você controlar o seu ambiente de maneira efetiva.
Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança. Por exemplo:
- O inventário de ativos utiliza ARG
- Documentamos um exemplo de consulta do ARG para saber como Identificar contas sem a MFA (autenticação multifator) habilitada
Há tabelas de dados no ARG que poderão ser usadas em suas consultas.
Tip
A documentação do ARG lista todas as tabelas disponíveis na Referência de tabela e tipo de recurso do Azure Resource Graph.
Nesta atualização, a tabela Microsoft.Security/securityStatuses foi removida. A API securityStatuses ainda está disponível.
A substituição de dados pode ser usada pela tabela Microsoft.Security/Assessments.
A principal diferença entre Microsoft.Security/securityStatuses e Microsoft.Security/Assessments é que, enquanto o primeiro mostra a agregação de avaliações, o segundo mantém um registro para cada uma.
Por exemplo, Microsoft.Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Enquanto Microsoft.Security/Assessments mantém um registro para cada avaliação de política, da seguinte maneira:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemplo de conversão de uma consulta de ARG existente usando securityStatuses para usar a tabela de avaliações:
Consulta que faz referência a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de substituição para a tabela de Avaliações:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Saiba mais consultando os seguintes links:
Setembro de 2020
As atualizações de setembro incluem:
- A Central de Segurança ganha uma nova aparência!
- Lançamento do Azure Defender
- Azure Defender para Key Vault em disponibilidade geral
- Proteção do Azure Defender para Armazenamento para os Arquivos e o ADLS Gen2 em disponibilidade geral
- Ferramentas de inventário de ativos em disponibilidade geral
- Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais
- Isentar um recurso de uma recomendação
- Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens
- Pacote de recomendações da proteção de cargas de trabalho do Kubernetes
- Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua
- Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos
- Aprimoramento das recomendações de grupo de segurança de rede
- Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"
- Aprimoramento nas notificações por email da Central de Segurança do Azure
- A classificação de segurança não inclui recomendações de versão prévia
- As recomendações agora incluem um indicador de severidade e o intervalo de atualização
A Central de Segurança ganha uma nova aparência
Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para a classificação de segurança, o inventário de ativos e o Azure Defender.
A página de visão geral remodelada agora traz um bloco para acessar os painéis da classificação de segurança, do inventário de ativos e do Azure Defender. Também traz um bloco vinculado ao painel de conformidade regulatória.
Saiba mais sobre a página de visão geral.
Lançamento do Azure Defender
O Azure Defender é a CWPP (Cloud Workload Protection Platform) integrada na Central de Segurança para proteção avançada, inteligente e de cargas de trabalho híbridas do Azure. Ele substitui a opção de tipo de preço Standard da Central de Segurança.
Quando você habilita o Azure Defender na área Preços e configurações da Central de Segurança do Azure, os seguintes planos do Defender são todos habilitados simultaneamente e fornecem proteções abrangentes para as camadas de computação, dados e serviço do seu ambiente:
- Azure Defender para servidores
- Azure Defender for Serviço de Aplicativo
- Azure Defender para Armazenamento
- Azure Defender para SQL
- Azure Defender para Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registros de contêiner
Cada um desses planos é explicado separadamente na documentação da Central de Segurança.
Com um painel dedicado, o Azure Defender fornece alertas de segurança e Proteção Avançada contra Ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede, entre outros.
Saiba mais sobre o Azure Defender
Azure Defender para Key Vault em disponibilidade geral
O Azure Key Vault é um serviço de nuvem que protege segredos e chaves de criptografia, como certificados, cadeias de conexão e senhas.
O Azure Defender para Key Vault fornece proteção avançada e nativa do Azure contra ameaças para o Azure Key Vault, oferecendo uma camada adicional de inteligência de segurança. Por extensão, o Azure Defender para Key Vault está, consequentemente, protegendo muitos dos recursos dependentes das suas contas do Key Vault.
Agora, o plano opcional é GA. Esse recurso estava em versão prévia como "proteção avançada contra ameaças para o Azure Key Vault".
Além disso, as páginas do Key Vault no portal do Azure agora incluem uma página de Segurança dedicada para recomendações e alertas da Central de Segurança .
Saiba mais em Azure Defender para Key Vault.
Proteção do Azure Defender para Armazenamento para os Arquivos e o ADLS Gen2 em disponibilidade geral
O Azure Defender para Armazenamento detecta atividades potencialmente prejudiciais nas contas do Armazenamento do Azure. Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
O suporte aos Arquivos do Azure e ao Azure Data Lake Storage Gen2 agora está disponível em geral.
Desde 1º de outubro de 2020, começamos a cobrar pela proteção de recursos nesses serviços.
Saiba mais em Azure Defender para Armazenamento.
Ferramentas de inventário de ativos em disponibilidade geral
A página de inventário de ativos da Central de Segurança do Azure fornece uma só página para exibição da postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades.
Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.
Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.
Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais
O Azure Defender inclui verificadores de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure e nas suas máquinas virtuais.
Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.
Quando uma descoberta corresponde aos critérios definidos nas regras de desabilitação, ela não será exibida na lista de descobertas.
Essa opção está disponível nas páginas de detalhes de recomendações para:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas
- As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Isentar um recurso de uma recomendação
Ocasionalmente, um recurso será listado como não íntegro em relação a uma recomendação específica (e, portanto, reduzindo sua classificação de segurança) mesmo que você ache que ele não deveria ser. Ele pode ter sido corrigido por um processo não acompanhado pela Central de Segurança. Ou, talvez, sua organização tenha decidido aceitar o risco para esse recurso específico.
Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Essas regras podem incluir justificações documentadas, conforme descrito abaixo.
Saiba mais em Isentar um recurso das recomendações e da classificação de segurança.
Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens
Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.
A Central de Segurança do Azure agora protege as cargas de trabalho no Azure, a AWS (Amazon Web Services) e o GCP (Google Cloud Platform).
Quando você integra projetos da AWS e do GCP na Central de Segurança, ele integra o AWS Security Hub, o GCP Security Command e a Central de Segurança do Azure.
Saiba mais em Conectar suas contas da AWS à Central de Segurança do Azure e Conectar seus projetos do GCP à Central de Segurança do Azure.
Pacote de recomendações da proteção de cargas de trabalho do Kubernetes
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
Quando você instalar o Azure Policy para Kubernetes no seu cluster do AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.
Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.
Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.
Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua
Use a exportação contínua para transmitir alertas e recomendações aos Hubs de Eventos do Azure, aos espaços de trabalho do Log Analytics ou ao Azure Monitor. A partir daí, você pode integrar esses dados a SIEMs, como Microsoft Sentinel, Power BI, Azure Data Explorer e muito mais.
As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações práticas em uma recomendação "pai", por exemplo, "As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas".
As descobertas de segurança já estão disponíveis para exportação por meio da exportação contínua quando você seleciona as recomendações e habilita a opção Incluir descobertas de segurança.
Páginas relacionadas:
- Solução de avaliação de vulnerabilidades da Qualys integrada à Central de Segurança para máquinas virtuais do Azure
- Solução de avaliação de vulnerabilidades integrada da Central de Segurança para imagens do Registro de Contêiner do Azure
- Exportação contínua
Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos
Configurações incorretas de segurança são uma das principais causas de incidentes de segurança. A Central de Segurança agora tem a capacidade de ajudar a evitar configurações incorretas de novos recursos em relação a recomendações específicas.
Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua classificação de segurança.
Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:
Usando o modo negado do Azure Policy, você pode impedir que recursos não íntegros sejam criados
Usando a opção imposta, você pode aproveitar o efeito DeployIfNotExist do Azure Policy e corrigir automaticamente recursos não compatíveis após a criação
Isso está disponível para as recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.
Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar.
Aprimoramento das recomendações de grupo de segurança de rede
As recomendações de segurança a seguir relacionadas aos grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.
- Todas as portas de rede devem ser restritas no NSG associado à sua VM
- Portas de gerenciamento devem ser fechadas nas máquinas virtuais
- As máquinas virtuais para a Internet devem ser protegidas com Grupos de Segurança de Rede
- As sub-redes devem ser associadas a um Grupo de Segurança de Rede
Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"
A recomendação de versão prévia "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes" está sendo preterida, conforme descrito na documentação do Serviço de Kubernetes do Azure.
O recurso da política de segurança de pods (versão prévia) foi configurado para ser substituído e não está mais disponível desde 15 de outubro de 2020 a fim de beneficiar o Azure Policy para AKS.
Depois que a política de segurança de pods (versão prévia) for preterida, você precisará desabilitar o recurso em todos os clusters existentes usando o recurso preterido para realizar futuras atualizações de cluster e permanecer dentro do suporte do Azure.
Aprimoramento nas notificações por email da Central de Segurança do Azure
As seguintes áreas dos emails relacionadas a alertas de segurança foram aprimoradas:
- Adição da capacidade de enviar notificações por email sobre alertas para todos os níveis de severidade
- Adição da capacidade de notificar os usuários com diferentes funções do Azure na assinatura
- Por padrão, estamos notificando de maneira proativa os proprietários da assinatura em alertas de alta severidade (que têm uma alta probabilidade de serem violações autênticas)
- Removemos o campo de número de telefone da página de configuração das notificações de email
Saiba mais em Configurar notificações por email para alertas de segurança.
A classificação de segurança não inclui recomendações de versão prévia
A Central de Segurança avalia continuamente seus recursos, suas assinaturas e a organização em busca de problemas de segurança. Em seguida, ele agrega todas as conclusões em uma única pontuação para que você possa ver, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
À medida que novas ameaças são descobertas, novas orientações de segurança são disponibilizadas na Central de Segurança por meio de novas recomendações. Para evitar alterações surpresas em sua pontuação de segurança e fornecer um período de carência no qual você pode explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Visualização não são mais incluídas nos cálculos de sua pontuação segura. Elas ainda deverão ser corrigidas sempre que possível, para que, quando o período de versão prévia terminar, elas contribuam para a sua classificação.
Além disso, as recomendações de visualização não renderizam um recurso "Não íntegro".
Um exemplo de recomendação de versão prévia:
Saiba mais sobre a classificação de segurança.
As recomendações agora incluem um indicador de severidade e o intervalo de atualização
A página de detalhes de recomendações agora inclui um indicador de intervalo de atualização (quando relevante) e uma exibição clara da severidade da recomendação.
Agosto de 2020
As atualizações de agosto incluem:
- Inventário de ativos: nova exibição avançada da postura de segurança dos ativos
- Adição de suporte para padrões de segurança do Azure Active Directory (para autenticação multifator)
- Adição da recomendação de entidades de serviço
- Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas
- Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Inventário de ativos: nova exibição avançada da postura de segurança dos ativos
O inventário de ativos da Central de Segurança (atualmente em versão prévia) fornece uma forma de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.
Use a exibição e os respectivos filtros para explorar seus dados de postura de segurança e realizar ações adicionais com base nas descobertas.
Saiba mais sobre o inventário de ativos.
Adição de suporte para padrões de segurança do Azure Active Directory (para autenticação multifator)
A Central de Segurança adicionou suporte total para padrões de segurança, as proteções gratuitas de segurança de identidade da Microsoft.
Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização contra ataques comuns relacionados à identidade. Os padrões de segurança já estão protegendo mais de 5 milhões de locatários em geral; 50 mil locatários também estão protegidos pela Central de Segurança.
Agora, a Central de Segurança fornece uma recomendação de segurança sempre que identifica uma assinatura do Azure sem os padrões de segurança habilitados. Até agora, a Central de Segurança recomenda habilitar a autenticação multifator usando o acesso condicional, que faz parte da licença Premium do Azure AD (Active Directory). Para os clientes que usam o Azure AD gratuito, agora recomendamos habilitar os padrões de segurança.
Nossa meta é incentivar mais clientes a proteger seus ambientes de nuvem com a MFA e atenuar um dos maiores riscos que também são os mais impactantes para sua pontuação de segurança.
Saiba mais sobre os padrões de segurança.
Adição da recomendação de entidades de serviço
Uma nova recomendação foi adicionada a fim de aconselhar os clientes da Central de Segurança que usam certificados de gerenciamento para gerenciar suas assinaturas mudem para as entidades de serviço.
A recomendação As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento aconselha você a usar as entidades de serviço ou o Azure Resource Manager para gerenciar suas assinaturas com mais segurança.
Saiba mais sobre os Objetos de entidade de serviço e aplicativo no Azure Active Directory.
Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas
A Central de Segurança inspeciona suas VMs para detectar se estão executando uma solução de avaliação de vulnerabilidades. Se nenhuma solução de avaliação de vulnerabilidades for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.
Quando as vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir, conforme necessário.
Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de verificador que estão usando, unificamos quatro recomendações nas duas seguintes:
| Recomendação unificada | Descrição da alteração |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Substitui as duas seguintes recomendações: ***** Habilitar a solução interna de avaliação de vulnerabilidades em máquinas virtuais (ativada pela Qualys) (agora preterida) (incluída na camada Standard) **** A solução de avaliação de vulnerabilidades deve ser instalada nas máquinas virtuais (agora preterida) (Camadas Standard e Gratuita) |
| As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas | Substitui as duas seguintes recomendações: ***** Corrija as vulnerabilidades encontradas nas máquinas virtuais (ativada pela Qualys) (agora preterida) ***** As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades (agora preterida) |
Agora, você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidades da Central de Segurança ou uma solução de licença privada ("BYOL") de um parceiro, como a Qualys ou a Rapid7.
Além disso, quando as vulnerabilidades forem encontradas e relatadas à Central de Segurança, uma só recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidades que as identificou.
Atualizando dependências
Se você tiver scripts, consultas ou automações referentes às recomendações ou aos nomes/às chaves de política anteriores, use as tabelas abaixo para atualizar as referências:
Antes de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Habilitar a solução interna de avaliação de vulnerabilidades nas máquinas virtuais (ativada pela Qualys) Chave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corrija as vulnerabilidades encontradas em suas máquinas virtuais (da plataforma Qualys) Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
A solução de avaliação de vulnerabilidades deve ser instalada nas suas máquinas virtuais Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades ID da política: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
A partir de agosto de 2020
| Recommendation | Scope |
|---|---|
|
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Interno + BYOL |
|
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Interno + BYOL |
| Policy | Scope |
|---|---|
|
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Interno + BYOL |
Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.
A fase inicial deste projeto inclui uma visualização e a adição de novas políticas (desabilitadas por padrão) à iniciativa ASC_default.
Você poderá ignorar essas políticas com segurança e não haverá nenhum impacto no seu ambiente. Se você quiser habilitá-las, inscreva-se na versão prévia na Microsoft Cloud Security Private Community e escolha uma das seguintes opções:
- Versão prévia única – para ingressar somente nesta versão prévia. Mencione explicitamente “Verificação contínua do ASC” como a versão prévia na qual deseja ingressar.
- Programa em andamento – para ser adicionado a esta e futuras visualizações. Você precisará preencher um perfil e assinar um contrato de privacidade.
Julho de 2020
As atualizações de julho incluem:
- A avaliação de vulnerabilidade para máquinas virtuais agora está disponível para imagens que não estão no marketplace
- Expansão da proteção contra ameaças para o Armazenamento do Azure para incluir os Arquivos do Azure e o Azure Data Lake Storage Gen2 (versão prévia)
- Oito novas recomendações para habilitar os recursos de proteção contra ameaças
- Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação
- Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho
- Seis políticas para a reprovação da Segurança de Dados Avançada do SQL
A avaliação de vulnerabilidades para máquinas virtuais já está disponível para imagens que não são do marketplace
Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. O objetivo da verificação era confirmar um SKU do marketplace da máquina virtual de destino.
Dessa atualização em diante, a verificação foi removida e agora você pode implantar ferramentas de avaliação de vulnerabilidades em computadores Windows e Linux ''personalizados''. As imagens personalizadas são aquelas que você modificou dos padrões do marketplace.
Embora você possa implantar a extensão integrada de avaliação de vulnerabilidades (ativada pela Qualys) em muitos outros computadores, o suporte só estará disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs da camada Standard
Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (exige o Azure Defender).
Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada de forma privada da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidades de parceiros.
Expansão da proteção contra ameaças para o Armazenamento do Azure para incluir os Arquivos do Azure e o Azure Data Lake Storage Gen2 (versão prévia)
A proteção contra ameaças para o Armazenamento do Azure detecta atividades potencialmente prejudiciais nas suas contas do Armazenamento do Azure. A Central de Segurança exibe alertas quando detecta tentativas de acessar ou explorar suas contas de armazenamento.
Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Oito novas recomendações para habilitar os recursos de proteção contra ameaças
Oito novas recomendações foram adicionadas para fornecer uma forma simples de habilitar os recursos de proteção contra ameaças da Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, Planos do Serviço de Aplicativo, servidores do Banco de Dados SQL do Azure, SQL Servers em computadores, contas do Armazenamento do Azure, clusters do Serviço de Kubernetes do Azure, registros do Registro de Contêiner do Azure e cofres do Azure Key Vault.
As novas recomendações são:
- A Segurança de Dados Avançada deve ser habilitada nos servidores do Banco de Dados SQL do Azure
- A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores
- A Proteção Avançada contra Ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure
- A Proteção Avançada contra Ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure
- A Proteção Avançada contra Ameaças deve ser habilitada nos cofres do Azure Key Vault
- A Proteção Avançada contra Ameaças deve ser habilitada nos clusters do Serviço de Kubernetes do Azure
- A Proteção Avançada contra Ameaças deve ser habilitada em contas de Armazenamento do Azure
- A Proteção Avançada contra Ameaças deve estar habilitada nas máquinas virtuais
As recomendações também incluem a funcionalidade de correção rápida.
Important
A correção de uma dessas recomendações resultará em custos para proteger os recursos relevantes. Esses custos serão iniciados imediatamente se você tiver recursos relacionados na assinatura atual. Ou, no futuro, se você adicioná-los em uma data posterior.
Por exemplo, se você não tiver nenhum cluster do Serviço de Kubernetes do Azure na sua assinatura e habilitar a proteção contra ameaças, nenhum custo será cobrado. Se, no futuro, você adicionar um cluster na mesma assinatura, ela será automaticamente protegida e os custos serão iniciados nesse momento.
Saiba mais sobre a proteção contra ameaças na Central de Segurança do Azure.
Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação
Como parte dos investimentos contínuos no domínio de segurança de contêiner, temos o prazer de compartilhar uma melhoria significativa de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas no Registro de Contêiner do Azure. Agora, as verificações normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, elas podem levar até 15 minutos.
Para aprimorar a clareza e as diretrizes sobre as funcionalidades de segurança do contêiner da Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança do contêiner.
Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho
O recurso de controles de aplicativos adaptáveis recebeu duas atualizações significativas:
Uma nova recomendação identifica o comportamento potencialmente legítimo que não era permitido antes. A nova recomendação, As regras de lista de permissões na sua política de controle de aplicativos adaptáveis deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativos adaptáveis.
Agora, as regras de caminho dão suporte a curingas. A partir dessa atualização, você pode configurar as regras de caminho permitidas usando curingas. Há dois cenários compatíveis:
Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta alterado (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pasta gerados automaticamente etc.).
Seis políticas para a reprovação da Segurança de Dados Avançada do SQL
Seis políticas relacionadas à Segurança de Dados Avançada para computadores SQL estão sendo preteridas:
- Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada da Instância Gerenciada de SQL
- Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada do SQL Server
- As configurações da Segurança de Dados Avançada para a instância gerenciada do SQL devem conter um endereço de email para receber alertas de segurança
- As configurações da Segurança de Dados Avançada para o SQL Server devem conter um endereço de email para receber alertas de segurança
- As notificações por email para administradores e proprietários de assinatura devem ser habilitadas nas configurações da Segurança de Dados Avançada da instância gerenciada do SQL
- As notificações por email para os administradores e proprietários de assinaturas devem ser habilitadas nas configurações da Segurança de Dados Avançada do SQL Server
Saiba mais sobre políticas internas.
Junho de 2020
As atualizações de junho incluem:
- API de classificação de segurança (versão prévia)
- Segurança de dados avançada para computadores SQL (Azure, outras nuvens e local) (versão prévia)
- Duas novas recomendações para implantar o agente do Log Analytics em computadores do Azure Arc (versão prévia)
- Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala
- Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet
- Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada
API de classificação de segurança (versão prévia)
Agora você pode acessar sua classificação por meio da API de classificação de segurança (atualmente em versão prévia). Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo, você pode usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas.
Para obter exemplos de ferramentas externas possibilitadas com a API de classificação de segurança, confira a área de classificação de segurança da nossa comunidade do GitHub.
Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.
Segurança de dados avançada para computadores SQL (Azure, outras nuvens e local) (versão prévia)
A Segurança de Dados Avançada da Central de Segurança do Azure para computadores SQL agora protege os SQL Servers hospedados no Azure, em outros ambientes de nuvem e, até mesmo, em computadores locais. Isso estende as proteções para que os SQL Servers nativos do Azure deem suporte completo a ambientes híbridos.
A Segurança de Dados Avançada fornece avaliação de vulnerabilidades e Proteção Avançada contra Ameaças para computadores SQL onde quer que estejam.
A configuração envolve duas etapas:
Implantar o agente do Log Analytics no computador host do SQL Server para fornecer a conexão à conta do Azure.
Habilitar o pacote opcional na página de preços e configurações da Central de Segurança.
Saiba mais sobre a Segurança de Dados Avançada para computadores SQL.
Duas novas recomendações para implantar o agente do Log Analytics em computadores do Azure Arc (versão prévia)
Duas novas recomendações foram adicionadas para ajudar a implantar o agente do Log Analytics nos computadores do Azure Arc e garantir que eles estejam protegidos pela Central de Segurança do Azure:
- O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados no Windows (versão prévia)
- O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados em Linux (versão prévia)
Essas novas recomendações serão exibidas nos mesmos quatro controles de segurança da recomendação existente (relacionada), O agente de monitoramento deve ser instalado nos computadores: corrigir as configurações de segurança, aplicar o controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de ponto de extremidade.
As recomendações também incluem a funcionalidade de correção rápida para acelerar o processo de implantação.
Saiba mais sobre como a Central de Segurança do Azure usa o agente em O que é o agente do Log Analytics?.
Saiba mais sobre as extensões para computadores do Azure Arc.
Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.
Para implantar suas configurações de automação em sua organização, use estas políticas internas do Azure 'DeployIfdNotExist' para criar e configurar procedimentos contínuos de automação de exportação e fluxo de trabalho :
As definições da política podem ser encontradas no Azure Policy:
| Goal | Policy | ID da Política |
|---|---|---|
| Exportação contínua para o hub de eventos | Implantar a exportação para o Hub de Eventos para os alertas e as recomendações Central de Segurança do Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportação contínua para o workspace do Log Analytics | Implantar a exportação para o workspace do Log Analytics para os alertas e as recomendações da Central de Segurança do Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automação de fluxo de trabalho para alertas de segurança | Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação de fluxo de trabalho para recomendações de segurança | Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Introdução aos modelos de automação de fluxo de trabalho.
Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação de fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.
Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet
O controle de segurança "Implementar melhores práticas de segurança" agora inclui a seguinte nova recomendação:
- Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Uma recomendação existente, As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distingue entre as VMs voltadas para a Internet e aquelas não voltadas para a Internet. Para ambas, uma recomendação de alta severidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Essa nova recomendação separa os computadores não voltados para a Internet para reduzir os falsos positivos e evitar alertas de alta severidade desnecessários.
Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada
As novas definições de política abaixo foram adicionadas à iniciativa Padrão ASC e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança de dados avançada dos tipos de recursos relevantes.
As definições da política podem ser encontradas no Azure Policy:
Saiba mais sobre a Proteção contra ameaças na Central de Segurança do Azure.
Maio de 2020
As atualizações de maio incluem:
- Regras de supressão de alertas (versão prévia)
- A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral
- Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)
- As recomendações personalizadas foram movidas para um controle de segurança separado
- Adicionada alternância para exibir recomendações em controles ou como uma lista simples
- Controle de segurança expandido "Implementar melhores práticas de segurança"
- Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral
- Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos
Regras de supressão de alertas (versão prévia)
Esse novo recurso (atualmente em versão prévia) ajuda a reduzir a fadiga causada por alertas. Use regras para ocultar automaticamente os alertas que são conhecidos como inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.
Os alertas que corresponderem às regras de supressão habilitadas ainda serão gerados, mas o estado deles será definido como ignorado. Você poderá ver o estado no portal do Azure ou de qualquer outra maneira que você acessar os alertas de segurança da Central de Segurança.
As regras de supressão definem os critérios para os quais os alertas devem ser automaticamente ignorados. Normalmente, você usaria uma regra de supressão para:
suprimir alertas que você identificou como falsos positivos
suprimir alertas que estão sendo disparados com frequência demais para serem úteis
Saiba mais sobre a supressão de alertas da Proteção contra Ameaças da Central de Segurança do Azure.
A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral
A camada Standard da Central de Segurança agora inclui uma avaliação de vulnerabilidade integrada para máquinas virtuais sem cobrança de nenhum valor adicional. Essa extensão é da plataforma Qualys, mas relata as descobertas dela diretamente para a Central de Segurança. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança.
A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.
Para implantar a solução, use a nova recomendação de segurança:
"Habilitar a solução de avaliação de vulnerabilidades interna nas máquinas virtuais (da plataforma Qualys)"
Saiba mais sobre avaliação de vulnerabilidade integrada da Central de Segurança para máquinas virtuais.
Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)
A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.
Essa atualização traz as seguintes alterações para esse recurso:
A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time".
A recomendação é disparada somente se há portas de gerenciamento abertas.
Saiba mais sobre o recurso de acesso JIT.
As recomendações personalizadas foram movidas para um controle de segurança separado
Um dos controles de segurança introduzidos com a classificação de segurança aprimorada foi "Implementar melhores práticas de segurança". Todas as recomendações personalizadas criadas para suas assinaturas foram colocadas automaticamente nesse controle.
Para facilitar a localização de suas recomendações personalizadas, as movemos para um controle de segurança dedicado, "Recomendações personalizadas". Este controle não tem impacto sobre sua classificação de segurança.
Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.
Adicionada alternância para exibir recomendações em controles ou como uma lista simples
Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controle é um conjunto de recomendações de segurança, com instruções que ajudam a implementar essas recomendações.
Para ver imediatamente como sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança.
Por padrão, suas recomendações são mostradas nos controles de segurança. Nesta atualização em diante, você também pode vê-las como uma lista. Para vê-las como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova alternância 'Agrupar por controles'. A alternância está acima da lista no portal.
Os controles de segurança (e essa alternância) são parte da nova experiência de classificação de segurança. Lembre-se de enviar seus comentários de dentro do portal.
Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.
Controle de segurança expandido "Implementar melhores práticas de segurança"
Um dos controles de segurança introduzidos com a classificação de segurança aprimorada é "Implementar melhores práticas de segurança". Quando uma recomendação está nesse controle, ela não afeta a classificação de segurança.
Com essa atualização, três recomendações foram movidas dos controles nos quais foram originalmente colocadas e transferidas para esse controle de práticas recomendadas. Realizamos esta etapa porque determinamos que o risco dessas três recomendações é menor do que se imaginava inicialmente.
Além disso, duas novas recomendações foram introduzidas e adicionadas a esse controle.
As três recomendações que foram movidas são:
- A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura (originalmente, no controle "Habilitar MFA")
- Contas externas com permissões de leitura devem ser removidas de sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
- Um máximo de três proprietários deve ser designado para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
As duas novas recomendações adicionadas ao controle são:
O agente de configuração convidado deve ser instalado em máquinas virtuais do Windows (versão prévia) : o uso da Configuração de Convidado do Azure Policy fornece visibilidade nas máquinas virtuais das configurações de servidor e de aplicativo (somente Windows).
O Microsoft Defender Exploit Guard deve ser habilitado nos computadores (versão prévia) : o Microsoft Defender Exploit Guard utiliza o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).
Saiba mais sobre o Microsoft Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.
Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia).
Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral
As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da classificação de segurança e do painel de padrões de conformidade regulatória. Esse recurso agora está em disponibilidade geral e permite que você estenda a cobertura de avaliação de segurança da sua organização na Central de Segurança.
Crie uma iniciativa personalizada no Azure Policy, adicione políticas a ela, integre-a à Central de Segurança do Azure e visualize-a como recomendações.
Agora também adicionamos a opção para editar os metadados de recomendação personalizados. As opções de metadados incluem severidade, etapas de correção, informações sobre ameaças e muito mais.
Saiba mais sobre como aprimorar as recomendações personalizadas com informações detalhadas.
Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos
Estamos integrando os recursos de detecção de CDA (análise de despejo de memória) do Windows à detecção de ataques sem arquivo. A análise de detecção de ataque sem arquivos acompanha versões aprimoradas dos seguintes alertas de segurança para computadores Windows: Injeção de código descoberta, Módulo do Windows disfarçado detectado, Shellcode descoberto e Segmento de código suspeito detectado.
Alguns dos benefícios dessa transição:
Detecção de malware proativa e oportuna: a abordagem da CDA envolvia a espera da ocorrência de uma falha e a posterior execução da análise para encontrar artefatos mal-intencionados. O uso da detecção de ataque sem arquivos introduz a identificação proativa de ameaças na memória enquanto elas estão em execução.
Alertas enriquecidos – Os alertas de segurança da detecção de ataque sem arquivo incluem enriquecimentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.
Agregação de alerta – quando o CDA detectou vários padrões de ataque em um único despejo de falha, ele disparou vários alertas de segurança. A detecção de ataque sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um alerta, eliminando a necessidade de correlacionar vários alertas.
Requisitos reduzidos em seu workspace do Log Analytics – despejos de memória que contêm dados potencialmente confidenciais não serão mais carregados em seu workspace do Log Analytics.
Abril de 2020
As atualizações de abril incluem:
- Os pacotes de conformidade dinâmica agora estão em disponibilidade geral
- Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure
Os pacotes de conformidade dinâmica agora estão em disponibilidade geral
O painel de conformidade regulatória da Central de Segurança do Azure agora inclui pacotes de conformidade dinâmica (agora em disponibilidade geral) para acompanhar padrões adicionais do setor e regulatórios.
Os pacotes de conformidade dinâmica podem ser adicionados à sua assinatura ou grupo de gerenciamento na página política de segurança da Central de Segurança. Quando você tiver integrado um padrão ou um parâmetro de comparação, o padrão será exibido em seu painel de conformidade regulatória com todos os dados de conformidade associados mapeados como avaliações. Um relatório de resumo para qualquer um dos padrões que foram integrados estará disponível para download.
Agora, você pode adicionar padrões como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official e UK NHS
- PBMM Federal do Canadá
- Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)
Além disso, adicionamos recentemente o Azure Security Benchmark, as diretrizes específicas do Azure criadas pela Microsoft para melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Outros padrões se tornarão compatíveis com o painel à medida que forem disponibilizados.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure
As recomendações de segurança para identidade e acesso na camada gratuita da Central de Segurança do Azure agora estão em disponibilidade geral. Isso faz parte do esforço para tornar gratuitos os recursos do CSPM (Gerenciamento da situação de segurança na nuvem). Até agora, essas recomendações só estavam disponíveis no tipo de preço Standard.
Exemplos de recomendações de identidade e acesso incluem:
- "A MFA deve ser habilitada em contas com permissões de proprietário em sua assinatura."
- "Um máximo de três proprietários deve ser designado para sua assinatura."
- "As contas preteridas devem ser removidas de sua assinatura."
Se você tiver assinaturas no tipo de preço gratuito, suas classificações de segurança serão afetadas por essa alteração, pois essas assinaturas nunca foram avaliadas quanto à identidade e segurança de acesso.
Março de 2020
As atualizações de março incluem:
- A automação do fluxo de trabalho já está em disponibilidade geral
- Integração da Central de Segurança do Azure ao Windows Admin Center
- Proteção para o Serviço de Kubernetes do Azure
- Experiência Just-In-Time aprimorada
- Duas recomendações de segurança para aplicativos Web preteridas
A automação do fluxo de trabalho já está em disponibilidade geral
O recurso de automação de fluxo de trabalho da Central de Segurança do Azure agora está em disponibilidade geral. Use-o para disparar automaticamente Aplicativos Lógicos em alertas de segurança e recomendações. Além disso, os gatilhos manuais estão disponíveis para alertas e todas as recomendações que têm a opção de correção rápida disponível.
Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga e pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte a automação do fluxo de trabalho.
Saiba mais sobre a criação de Aplicativos Lógicos.
Integração da Central de Segurança do Azure ao Windows Admin Center
Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para a Central de Segurança do Azure. A Central de Segurança se torna seu único painel de controle para ver informações de segurança para todos os seus recursos do Windows Admin Center, incluindo servidores locais, máquinas virtuais e cargas de trabalho de PaaS adicionais.
Depois de mover um servidor do Windows Admin Center para a Central de Segurança do Azure, você poderá:
- Exibir alertas de segurança e recomendações na extensão da Central de Segurança do Windows Admin Center.
- Exibir a postura de segurança e recuperar informações detalhadas adicionais dos servidores gerenciados do Windows Admin Center na Central de Segurança dentro do portal do Azure (ou por meio de uma API).
Saiba mais sobre como integrar a Central de Segurança do Azure ao Windows Admin Center.
Proteção para o Serviço de Kubernetes do Azure
A Central de Segurança do Azure está expandindo os respectivos recursos de segurança de contêiner para proteger o AKS (Serviço de Kubernetes do Azure).
A popular plataforma de código aberto Kubernetes foi adotada tão amplamente que ela agora é um padrão do setor para a orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de um aplicativo em contêineres exige experiência para garantir que a infraestrutura seja configurada de modo seguro e constante para possíveis ameaças.
A defesa da Central de Segurança inclui:
- Descoberta e visibilidade – descoberta contínua de instâncias gerenciadas do AKS nas assinaturas registradas na Central de Segurança.
- Recomendações de segurança – recomendações acionáveis para ajudá-lo a cumprir as práticas recomendadas de segurança para o AKS. Essas recomendações estão incluídas na sua classificação de segurança para garantir que elas sejam exibidas como parte da postura de segurança de sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster do serviço do Kubernetes".
- Proteção contra ameaças – por meio da análise contínua da implantação do AKS, a Central de Segurança alerta você sobre ameaças e atividades mal-intencionadas detectadas no nível do host e do cluster do AKS.
Saiba mais sobre a Integração do Serviço de Kubernetes do Azure à Central de Segurança.
Saiba mais sobre os recursos de segurança de contêiner na Central de Segurança.
Experiência Just-In-Time aprimorada
Os recursos, a operação e a interface do usuário das ferramentas just-in-time da Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimoradas da seguinte maneira:
- Campo Justificativa – Ao solicitar acesso a uma VM (máquina virtual) por meio da página just-in-time do portal do Azure, um novo campo opcional estará disponível para inserir uma justificativa para a solicitação. As informações inseridas nesse campo podem ser acompanhadas no log de atividades.
- Limpeza automática de regras JIT (Just-In-Time) redundantes – sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura incompatibilidades entre as regras em sua política e as regras no NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determinará a causa e, quando for seguro, removerá as regras internas que não forem mais necessárias. O limpador nunca exclui regras que você criou.
Saiba mais sobre o recurso de acesso JIT.
Duas recomendações de segurança para aplicativos Web preteridas
Duas recomendações de segurança relacionadas a aplicativos Web estão sendo preteridas:
As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas. (Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser fortalecidas)
O acesso aos Serviços de Aplicativos deve ser restrito. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [Versão Prévia])
Essas recomendações não serão mais exibidas na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".
Fevereiro de 2020
Detecção de ataque sem arquivos para Linux (versão prévia)
Já que os invasores usam métodos cada vez mais difíceis de detectar, a Central de Segurança do Azure está estendendo a detecção de ataque sem arquivos para o Linux, além do Windows. Ataques sem arquivos exploram vulnerabilidades de software, injetam cargas mal-intencionadas em processos de sistema benignos e ficam ocultos na memória. Estas técnicas:
- minimizam ou eliminam sinais de malware no disco
- reduzem significativamente as chances de detecção por soluções de verificação de malware baseadas em disco
Para combater essa ameaça, a Central de Segurança do Azure liberou a detecção de ataque sem arquivos para Windows em outubro de 2018 e agora ampliou a detecção de ataque sem arquivos para o Linux também.
Janeiro de 2020
Classificação de segurança aprimorada (versão prévia)
Uma versão aprimorada do recurso de classificação de segurança da Central de Segurança do Azure agora está disponível em versão prévia. Nesta versão, várias recomendações são agrupadas em Controles de Segurança que refletem melhor suas superfícies de ataque vulneráveis (por exemplo, restringir o acesso às portas de gerenciamento).
Familiarize-se com as alterações classificação de segurança durante a fase de versão prévia e determine outras correções que o ajudarão a proteger ainda mais seu ambiente.
Saiba mais sobre a classificação de segurança aprimorada (versão prévia).
Novembro de 2019
As atualizações de novembro incluem:
- Proteção contra ameaças para Azure Key Vault nas regiões da América do Norte (versão prévia)
- A Proteção contra Ameaças para o Armazenamento do Microsoft Azure inclui Triagem de Reputação de Malware
- Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)
- Correção rápida para recursos em massa disponíveis para o público geral
- Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)
- Padrões adicionais de conformidade regulatória (versão preliminar)
- Proteção contra ameaças para o Serviço de Kubernetes do Azure (versão preliminar)
- Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)
- Segurança de Dados Avançada para o SQL Server em Máquinas Virtuais do Microsoft Azure (versão preliminar)
- Compatibilidade com políticas personalizadas (versão preliminar)
- Estender a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros
- Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)
- Integrar servidores locais à Central de Segurança do Centro de Administração do Windows (versão preliminar)
Proteção contra ameaças para Azure Key Vault nas regiões da América do Norte (versão prévia)
O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicativos na nuvem, oferecendo a capacidade de gerenciar centralmente chaves, segredos, chaves de criptografia e políticas na nuvem. Como o Azure Key Vault armazena dados confidenciais e críticos para os negócios, ele exige segurança máxima para os cofres de chaves e os dados armazenados neles.
O suporte da Central de Segurança do Azure para proteção contra ameaças para o Azure Key Vault oferece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Essa nova camada de proteção permite que os clientes resolvam ameaças contra seus cofres de chaves sem serem especialistas em segurança ou gerenciar sistemas de monitoramento de segurança. O recurso está em versão preliminar pública em regiões da América do Norte.
A Proteção contra Ameaças para o Armazenamento do Microsoft Azure inclui Triagem de Reputação de Malware
A proteção contra ameaças para o Armazenamento do Azure oferece novas detecções alimentadas pela Inteligência contra Ameaças da Microsoft para detectar carregamentos de malware no Armazenamento do Azure usando análise de reputação de hash e acesso suspeito de um nó de saída de Tor ativo (um proxy de anonimato). Agora você pode ver o malware detectado em contas de armazenamento usando a Central de Segurança do Azure.
Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)
As organizações com segurança gerenciada centralmente e TI/operações implementam processos de fluxo de trabalho integrados para impulsionar a ação necessária na organização quando as discrepâncias são descobertas em seus ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis, e a automação pode simplificar muito os processos na organização.
Hoje, estamos introduzindo um novo recurso na Central de Segurança que permite que os clientes criem configurações de automação aproveitando os Aplicativos Lógicos do Azure e criem políticas que as dispararão automaticamente com base em descobertas específicas do ASC, como Recomendações ou Alertas. O Aplicativo Lógico do Azure pode ser configurado para realizar qualquer ação personalizada com suporte pela vasta comunidade de conectores de Aplicativos Lógicos ou usar um dos modelos fornecidos pela Central de Segurança, como enviar um email ou abrir um tíquete de do ServiceNow™.
Para obter mais informações sobre os recursos automáticos e manuais da Central de Segurança para executar seus fluxos de trabalho, consulte a automação do fluxo de trabalho.
Para saber mais sobre a criação de Aplicativos Lógicos, consulte Aplicativos Lógicos do Azure.
Correção rápida para recursos em massa disponíveis para o público geral
Com as muitas tarefas que um usuário recebe como parte da Classificação de Segurança, a capacidade de corrigir efetivamente os problemas em um grande frota pode se tornar desafiador.
Use a Correção Rápida para corrigir configurações incorretas de segurança, corrigir recomendações em vários recursos e melhorar sua pontuação de segurança.
Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.
A Correção Rápida geralmente está disponível para clientes atuais como parte da página de recomendações da Central de Segurança.
Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)
A Central de Segurança do Azure agora pode verificar as imagens de contêiner no Registro de Contêiner do Azure em busca de vulnerabilidades.
A verificação de imagem funciona analisando o arquivo de imagem de contêiner e, em seguida, verificando se há alguma vulnerabilidade conhecida (da plataforma Qualys).
A varredura em si é disparada automaticamente ao enviar por push novas imagens de contêiner para o Registro de Contêiner do Azure. As vulnerabilidades encontradas surgirão como recomendações da Central de Segurança e serão incluídas na classificação de segurança, com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.
Padrões adicionais de conformidade regulatória (versão preliminar)
O painel de Conformidade Regulatória mostra informações sobre sua postura de conformidade com base nas avaliações da Central de Segurança. O painel mostra como o seu ambiente está em conformidade com os controles e requisitos designados por padrões regulatórios específicos e benchmarks do setor e fornece recomendações prescritivas sobre como lidar com esses requisitos.
O painel de conformidade regulatória oferece, até o momento, suporte a quatro padrões integrados: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Agora estamos anunciando o lançamento de visualização pública de padrões adicionais suportados: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official junto com o UK NHS. Também estamos lançando uma versão atualizada do Azure CIS 1.1.0, abrangendo mais controles do padrão e aprimorando a extensibilidade.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.
Proteção contra ameaças para o Serviço de Kubernetes do Azure (versão preliminar)
O Kubernetes está se tornando rapidamente o novo padrão para implantar e gerenciar software na nuvem. Poucas pessoas têm ampla experiência com Kubernetes e muitos se concentram apenas em engenharia e administração geral e ignoram o aspecto de segurança. O ambiente Kubernetes precisa ser configurado com cuidado para ser seguro, garantindo que nenhuma das portas da superfície de ataque focadas no contêiner seja deixada aberta é exposta para invasores. A Central de Segurança está expandindo seu suporte no espaço do contêiner para um dos serviços de crescimento mais rápido no Azure: AKS (Serviço de Kubernetes do Azure).
Os novos recursos dessa versão preliminar pública incluem:
- Descoberta e visibilidade - descoberta contínua de instâncias do AKS gerenciadas nas assinaturas registradas da Central de Segurança.
- Recomendações de pontuação segura - itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como o “controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço Kubernetes”.
- Detecção de Ameaças – Análise baseada em host e cluster, como "Um contêiner privilegiado detectado".
Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)
Os aplicativos instalados em máquinas virtuais geralmente podem ter vulnerabilidades que poderiam levar a uma violação da máquina virtual. Estamos anunciando que a camada padrão da Central de Segurança inclui avaliação de vulnerabilidade interna para máquinas virtuais sem taxa adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na versão preliminar pública, permitirá que você examine continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresente as descobertas na experiência do portal da Central de Segurança. A Central de Segurança cuida de todas as operações de implantação para que não seja necessário nenhum trabalho extra do usuário. No futuro, planejamos fornecer opções de avaliação de vulnerabilidade para atender às necessidades comerciais exclusivas de nossos clientes.
Saiba mais sobre avaliações de vulnerabilidades para suas máquinas virtuais do Azure.
Segurança de Dados Avançada para o SQL Server em Máquinas Virtuais do Microsoft Azure (versão preliminar)
O suporte da Central de Segurança do Azure para proteção contra ameaças e a avaliação de vulnerabilidade para bancos de dados SQL em execução em VMs de IaaS agora está em versão preliminar.
A avaliação de vulnerabilidade é um serviço fácil de configurar que pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades de banco de dados. Ela fornece visibilidade de sua postura de segurança como parte da classificação de segurança e inclui as etapas para resolver problemas de segurança e aprimorar as fortificações de seu banco de dados.
A Proteção Avançada contra Ameaças detecta atividades anômalas, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seu SQL Server. Monitora continuamente seu banco de dados em busca de atividades suspeitas e fornece alertas de segurança orientados a ações em padrões anormais de acesso de banco de dados. Esses alertas mostram os detalhes da atividade suspeita e as ações recomendadas para investigar e atenuar a ameaça.
Compatibilidade com políticas personalizadas (versão preliminar)
A Central de Segurança do Azure agora permite políticas personalizadas (em versão preliminar).
Nossos clientes querem estender sua cobertura atual de avaliações de segurança na Central de Segurança com suas próprias avaliações, com base nas políticas que elas criam no Azure Policy. Com o suporte a políticas personalizadas, isso agora é possível.
As políticas personalizadas agora serão parte da experiência de recomendações da Central de Segurança, da Classificação de Segurança e do painel de padrões de conformidade regulatória. Com o suporte a políticas personalizadas, agora você pode criar uma iniciativa personalizada no Azure Policy e, em seguida, adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.
Estender a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros
Use a Central de Segurança para receber recomendações não apenas da Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muito mais integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você exiba suas recomendações de postura de segurança em um único lugar, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações integradas e de parceiros. Você também pode exportar recomendações da Central de Segurança para produtos de parceiros.
Saiba mais sobre a associação de segurança inteligente da Microsoft.
Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)
Para habilitar cenários de nível empresarial na Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto o portal do Azure ou a API. Eles podem ser exportados diretamente para um hub de eventos e para workspaces do Log Analytics. Aqui estão alguns fluxos de trabalho que você pode criar com base nesses novos recursos:
- Com a exportação para workspaces do Log Analytics, você pode criar painéis personalizados com o Power BI.
- Com a exportação para o Hub de Eventos, você pode exportar alertas e recomendações da Central de Segurança para seus SIEMs terceirizados, para uma solução terceirizada ou para o Azure Data Explorer.
Integrar servidores locais à Central de Segurança do Centro de Administração do Windows (versão preliminar)
O Centro de Administração do Windows é um portal de gerenciamento para servidores Windows que não estão implantados no Azure, oferecendo vários recursos de gerenciamento do Azure, como atualizações de sistema e backup. Recentemente, adicionamos um recurso para carregar esses servidores não Azure para serem protegidos pelo Certificado do Serviço de Aplicativo diretamente do Centro de Administração do Windows.
Os usuários agora podem integrar um servidor WAC à Central de Segurança do Azure e habilitar a exibição de seus alertas e recomendações de segurança diretamente na experiência do Windows Admin Center.
Setembro de 2019
As atualizações de setembro incluem:
- Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis
- Controlar a recomendação de segurança do contêiner usando Azure Policy
Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis
A experiência de gerenciar regras para máquinas virtuais usando controles de aplicativos adaptáveis foi aprimorada. Os controles de aplicativo adaptáveis da Central de Segurança do Azure ajudam a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Além de uma melhoria geral no gerenciamento de regras, um novo benefício permite que você controle quais tipos de arquivo serão protegidos quando você adicionar uma nova regra.
Saiba mais sobre controles de aplicativo adaptáveis.
Controlar a recomendação de segurança do contêiner usando Azure Policy
A recomendação da Central de Segurança do Azure para corrigir vulnerabilidades em segurança de contêiner agora pode ser habilitada ou desabilitada pelo Azure Policy.
Para exibir as políticas de segurança habilitadas, na Central de Segurança, abra a página Política de Segurança.
Agosto de 2019
As atualizações de agosto incluem:
- Acesso à VM just-in-time (JIT) para o Firewall do Azure
- Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)
- Gerenciamento entre locatários
Acesso à VM just-in-time (JIT) para o Firewall do Azure
O acesso à VM just-in-time (JIT) para o Firewall do Azure já está disponível para o público geral. Use-o para proteger seus ambientes protegidos pelo Firewall do Azure, além de seus ambientes protegidos por grupo de segurança de rede.
O acesso à VM JIT reduz a exposição a ataques volumétricos de rede, fornecendo acesso controlado às VMs somente quando necessário, usando suas regras de grupo de segurança de rede e Firewall do Azure.
Quando você habilita o JIT para suas VMs, cria uma política que determina as portas a serem protegidas, por quanto tempo as portas devem permanecer abertas e os endereços IP aprovados de onde essas portas podem ser acessadas. Essa política ajuda você a manter o controle do que os usuários podem fazer quando solicitam acesso.
As solicitações são registradas no log de atividades do Azure, para que você possa monitorar e auditar facilmente o acesso. A página just-in-time também ajuda a identificar rapidamente as VMs existentes que têm o JIT habilitado e as VMs em que o JIT é recomendado.
Saiba mais sobre o Firewall do Azure.
Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)
A pontuação segura é uma ferramenta que ajuda a avaliar sua postura de segurança de carga de trabalho. Ela analisa suas recomendações de segurança e as prioriza para você, para que você saiba quais recomendações devem ser executadas primeiro. Isso ajuda a encontrar as vulnerabilidades de segurança mais sérias para que você possa priorizar a investigação.
Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua classificação de segurança, adicionamos um novo recurso que permite que você corrija uma recomendação em uma grande quantidade de recursos com um único clique.
Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.
Gerenciamento entre locatários
A Central de Segurança agora dá suporte a cenários de gerenciamento entre locatários como parte do Azure Lighthouse. Isso permite que você tenha visibilidade e gerencie a postura de segurança de vários locatários na Central de Segurança.
Saiba mais sobre as experiências de gerenciamento entre locatários.
Julho de 2019
Atualizações das recomendações de rede
A Central de Segurança do Azure (ASC) lançou novas recomendações de rede e melhorou algumas delas. Agora, o uso da Central de Segurança garante uma proteção de rede ainda maior para seus recursos.
Junho de 2019
Proteção de rede adaptável: em disponibilidade geral
Uma das maiores superfícies de ataque para cargas de trabalho executadas na nuvem pública são as conexões de e para a Internet pública. Nossos clientes acham difícil saber quais regras do Grupo de Segurança de Rede (NSG) devem estar em vigor para garantir que as cargas de trabalho do Azure estejam disponíveis apenas para os intervalos de origem necessários. Com esse recurso, a Central de Segurança aprende o tráfego de rede e os padrões de conectividade das cargas de trabalho do Azure e mostra as recomendações de regras do grupo de segurança de rede para máquinas virtuais voltadas para a Internet. Isso ajuda nossos clientes a configurar melhor suas políticas de acesso à rede e limitar sua exposição a ataques.