Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As organizações movem dados para a nuvem a uma taxa exponencial usando vários armazenamentos de dados, como repositórios de objetos e bancos de dados gerenciados/hospedados, à medida que a transformação digital acelera. A natureza dinâmica e complexa da nuvem aumenta as superfícies de ameaças e os riscos de dados. As equipes de segurança enfrentam desafios com a visibilidade dos dados e a proteção do patrimônio de dados na nuvem.
O gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud ajuda você a reduzir o risco de dados e responder a violações de dados. Com o gerenciamento de postura de segurança de dados, você pode:
- Descubra automaticamente recursos de dados confidenciais em várias nuvens.
- Avalie a sensibilidade dos dados, a exposição dos dados e como os dados fluem pela organização.
- Descubra de forma proativa e contínua os riscos que podem levar a violações de dados.
- Detete atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais.
Descoberta automática
O gerenciamento de postura de segurança de dados encontra recursos de dados gerenciados e sombreados em nuvens. Ele inclui diferentes tipos de armazenamentos de objetos e bancos de dados.
- Use a extensão de descoberta de dados confidenciais incluída nos planos Defender Cloud Security Posture Management (CSPM) e Defender for Storage para descobrir dados confidenciais.
- Além disso, você pode descobrir bancos de dados hospedados e fluxos de dados no Cloud Security Explorer e Caminhos de Ataque. Essa funcionalidade está disponível no plano Defender CSPM e não depende da extensão de descoberta de dados confidenciais.
Amostragem inteligente
O Defender for Cloud usa amostragem inteligente para descobrir um número selecionado de ativos em seus armazenamentos de dados na nuvem. A amostragem inteligente deteta evidências de problemas de dados confidenciais e, ao mesmo tempo, economiza em custos e tempo de deteção.
Gestão da postura de segurança de dados no Defender CSPM
O Defender CSPM fornece visibilidade e informações contextuais sobre sua postura de segurança organizacional. Adicionar o gerenciamento de postura de segurança de dados ao plano Defender CSPM permite que você identifique e priorize proativamente os riscos críticos de dados, distinguindo-os de problemas menos arriscados.
Caminhos de ataque
A análise de caminho de ataque ajuda você a resolver problemas de segurança que representam ameaças imediatas e têm o maior potencial de exploração em seu ambiente. O Defender for Cloud analisa quais problemas de segurança fazem parte de possíveis caminhos de ataque que os invasores podem usar para invadir seu ambiente. Também destaca as recomendações de segurança que precisam de resolução para mitigar os riscos.
Você pode descobrir riscos de violação de dados por caminhos de ataque de VMs expostas à Internet que têm acesso a armazenamentos de dados confidenciais. Os hackers podem explorar VMs expostas para se mover lateralmente pela empresa e acessar essas lojas.
Explorador de Segurança da Cloud
O Cloud Security Explorer ajuda você a identificar riscos de segurança em seu ambiente de nuvem executando consultas baseadas em gráficos no Cloud Security Graph, o mecanismo de contexto do Defender for Cloud. Você pode priorizar as preocupações da sua equipe de segurança enquanto considera o contexto e as convenções específicas da sua organização.
Use modelos de consulta do Cloud Security Explorer para encontrar informações sobre recursos de dados configurados incorretamente. Você também pode criar suas próprias consultas. Esses recursos são acessíveis publicamente e contêm dados confidenciais em ambientes multicloud. Você pode executar consultas para examinar problemas de segurança e inserir o contexto do ambiente em seu inventário de ativos, exposição à Internet, controles de acesso, fluxos de dados e muito mais. Analise as informações do gráfico na nuvem.
Gerenciamento de postura de segurança de dados no Defender for Storage
O Defender for Storage monitora contas de armazenamento do Azure usando recursos avançados de deteção de ameaças. Deteta potenciais violações de dados, identificando tentativas prejudiciais de aceder ou explorar dados e alterações de configuração suspeitas que podem levar a uma violação.
Quando o Defender for Storage deteta sinais suspeitos precoces, gera alertas de segurança, permitindo que as equipes de segurança respondam rapidamente e atenuem.
Aplique tipos de informações confidenciais e rótulos de sensibilidade do Microsoft Purview em recursos de armazenamento para priorizar facilmente alertas e recomendações que se concentram em dados confidenciais.
Saiba mais sobre a descoberta de dados confidenciais no Defender for Storage.
Configurações de sensibilidade de dados
As configurações de confidencialidade de dados definem o que é considerado dados confidenciais em sua organização. O Defender for Cloud baseia os valores de sensibilidade dos dados em:
- Tipos de informações confidenciais predefinidas: o Defender for Cloud usa os tipos de informações confidenciais integrados no Microsoft Purview. Essa abordagem garante uma classificação consistente entre serviços e cargas de trabalho. O Defender for Cloud habilita alguns desses tipos por padrão. Você pode modificar esses padrões. Desses tipos de informações confidenciais incorporadas, há um subconjunto suportado pela descoberta de dados confidenciais. Você pode exibir uma lista de referência desse subconjunto, que também lista quais tipos de informações são suportados por padrão.
- Tipos/rótulos de informações personalizadas: opcionalmente, você pode importar tipos e rótulos de informações confidenciais personalizados definidos no portal de conformidade do Microsoft Purview.
- Limites de dados confidenciais: no Defender for Cloud, você pode definir o limite para rótulos de dados confidenciais. O limite determina o nível mínimo de confiança para que um rótulo seja marcado como confidencial no Defender for Cloud. Os limites facilitam a exploração de dados confidenciais.
Ao descobrir recursos para a sensibilidade dos dados, o Defender for Cloud baseia os resultados nessas configurações.
Habilite o gerenciamento de postura de segurança de dados com o componente de descoberta de dados confidenciais nos planos Defender CSPM ou Defender for Storage. Esse recurso permite que o Defender for Cloud identifique recursos de dados que contenham dados confidenciais. O Defender for Cloud rotula os recursos de acordo com as configurações de sensibilidade de dados.
As alterações nas configurações de sensibilidade entrarão em vigor na próxima vez que o Defender for Cloud descobrir recursos.
Deteção de dados confidenciais
A descoberta de dados confidenciais identifica recursos confidenciais e seus riscos relacionados e, em seguida, ajuda a priorizar e corrigir esses riscos.
O Defender for Cloud considera um recurso sensível se detetar um Tipo de Informação Confidencial (SIT) e você configurar o SIT para ser considerado confidencial. Confira a lista de SITs que são considerados sensíveis por padrão.
O processo de descoberta de dados confidenciais opera por amostragem dos dados do recurso. Ele usa os dados de exemplo para identificar recursos confidenciais com alta confiança sem executar uma verificação completa de todos os ativos no recurso.
O mecanismo de classificação Microsoft Purview alimenta o processo de descoberta de dados confidenciais. Ele usa um conjunto comum de SITs e rótulos para todos os armazenamentos de dados, independentemente de seu tipo ou fornecedor de nuvem de hospedagem.
A descoberta de dados confidenciais deteta dados confidenciais no nível da carga de trabalho na nuvem. A descoberta de dados confidenciais visa identificar vários tipos de informações confidenciais, mas pode não detetar todos os tipos.
Para obter resultados completos da verificação de catalogação de dados com todos os SITs disponíveis no recurso de nuvem, use os recursos de verificação do Microsoft Purview.
Para armazenamento em nuvem
O algoritmo de varredura do Defender for Cloud seleciona contêineres que podem conter informações confidenciais e amostras de até 20 MB para cada arquivo digitalizado dentro do contêiner.
Para bancos de dados na nuvem
O Defender for Cloud seleciona determinadas tabelas e amostras entre 300 e 1.024 linhas usando consultas sem bloqueio.