Partilhar via

Suporte e pré-requisitos para a gestão da postura de segurança de dados

Analise os requisitos nesta página antes de configurar o gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud.

Habilite a descoberta de dados confidenciais

A descoberta de dados confidenciais está disponível nos planos Defender Cloud Security Posture Management (CSPM), Defender for Storage e Defender for Databases.

  • Quando você habilita um dos planos, a extensão de descoberta de dados confidenciais é ativada como parte do plano.
  • Se você tiver planos existentes em execução, a extensão estará disponível, mas será desativada por padrão.
  • O status do plano existente será exibido como "Parcial" em vez de "Completo" se uma ou mais extensões não estiverem ativadas.
  • O recurso é ativado no nível da assinatura.
  • Se a descoberta de dados confidenciais for ativada, mas o Defender CSPM não estiver habilitado, apenas os recursos de armazenamento serão verificados.
  • Quando uma assinatura habilita o Defender CSPM e você verifica os mesmos recursos com o Purview, o resultado da verificação do Purview é ignorado. O padrão é exibir os resultados da verificação do Microsoft Defender for Cloud para o tipo de recurso suportado.

O que está suportado

A tabela resume a disponibilidade e os cenários suportados para a descoberta de dados confidenciais.

Suporte Detalhes
Que recursos de dados do Azure posso descobrir? Armazenamento de objetos:

Bloquear contas de armazenamento de blob no Armazenamento do Azure v1/v2

Arquivos do Azure no Armazenamento do Azure v1/v2. Suportado usando apenas o protocolo SMB

Azure Data Lake Storage Gen2

Há suporte para contas de armazenamento por trás de redes privadas.

Há suporte para contas de armazenamento criptografadas com uma chave do lado do servidor gerenciada pelo cliente.

As contas não são suportadas se um ponto de extremidade de uma conta de armazenamento tiver um domínio personalizado mapeado para ela.

Pré-requisitos e limitações:
- Para verificar compartilhamentos de arquivos, o Defender for Cloud atribui a função Storage File Data Privileged Reader ao StorageDataScanner.


Bases de dados

Bancos de Dados SQL do Azure

Banco de Dados SQL do Azure criptografado com criptografia de dados transparente
Quais recursos de dados da AWS posso descobrir? Armazenamento de objetos:

Buckets do AWS S3

O Defender for Cloud pode descobrir dados criptografados por KMS, mas não dados criptografados com uma chave gerenciada pelo cliente.

Bases de dados

- Amazônia Aurora
- Amazon RDS para PostgreSQL
- Amazon RDS para MySQL
- Amazon RDS para MariaDB
- Amazon RDS para SQL Server (não personalizado)
- Amazon RDS for Oracle Database (não personalizado, apenas SE2 Edition)

Pré-requisitos e limitações:
- Os backups automatizados precisam ser ativados.
- A função do IAM criada para fins de verificação (DefenderForCloud-DataSecurityPostureDB por padrão) precisa ter permissões para a chave KMS usada para a criptografia da instância RDS.
- Não é possível compartilhar um DB snapshot que usa um grupo de opções com opções permanentes ou persistentes, exceto para instâncias de banco de dados Oracle que têm a opção Timezone ou OLS (ou ambas). Saiba mais
Que recursos de dados do GCP posso descobrir? Buckets de armazenamento GCP
Classe Standard
Geo: região, região dupla, multi-região
De que permissões necessito para a descoberta? Conta de armazenamento: Proprietário da subscrição
ou
Microsoft.Authorization/roleAssignments/* (ler, escrever, apagar) e aindaMicrosoft.Security/pricings/* (ler, escrever, apagar) e aindaMicrosoft.Security/pricings/SecurityOperators (ler, escrever)

Buckets do Amazon S3 e instâncias do RDS: permissão da conta da AWS para permitir a execução do CloudFormation (para criar uma função).

Buckets de armazenamento GCP: permissão da Conta do Google para executar scripts (para criar uma função).
Quais tipos de arquivo são suportados para a descoberta de dados confidenciais? Tipos de ficheiro suportados (não é possível selecionar um subconjunto) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Quais regiões do Azure são suportadas? Você pode descobrir contas de armazenamento do Azure em:

Europa Ocidental (Europa Ocidental), Canadá Central (canadacentral), Sul do Reino Unido (uksouth), Leste do Japão (japaneast), Leste dos EUA 2 (eastus2), Leste da Austrália (australiaeast), Leste do Canadá (canadaeast), Leste dos EUA (eastus), Centro-Sul dos EUA (southcentralus), Centro-Norte dos EUA (northcentralus), Oeste dos EUA 2 (westus2), Sudeste Asiático (southeastasia), Central dos EUA (centralus), Brasil Sul (brazilsouth), France Central (francecentral), Europa do Norte (northeurope), Japan West (japanwest), Austrália Sudeste (australiasoutheast), Oeste dos EUA (westus), Leste dos EUA 2 EUAP (eastus2euap), Austrália Central (australiacentral), Ásia Oriental (eastasia), Oeste do Reino Unido (ukwest), Índia Central (centralindia), Leste da Noruega (norwayeast), África do Sul Norte (southafricanorth), Suécia Central (swedencentral), West US 3 (westus3), West Central US (westcentralus), Sul da Índia (southindia), EAU Norte (uaenorth), Suíça Norte (switzerlandnorth), Alemanha Centro-Oeste (germanywestcentral), Coreia Central (koreacentral), Coreia do Sul (koreasouth), Jio India West (jioindiawest), Israel Central (israelcentral), Switzerland West (switzerlandwest), Poland Central (polandcentral), Germany North (germanynorth), Italy North (italynorth), Norway West (norwaywest), Australia Central 2 (australiacentral2), South Africa West (southafricawest), Mexico Central (mexicocentral), UAE Central (uaecentral), France South (francesouth), Brazil Southeast (brazilsouth), Jio India Central (jioindiacentral), Sweden South (swedensouth), Spain Central (spaincentral), Nova Zelândia Norte (newzealandnorth)

Você pode descobrir os Bancos de Dados SQL do Azure em qualquer região onde o Defender CSPM e os Bancos de Dados SQL do Azure são suportados.
Quais regiões da AWS são compatíveis? S3:

UE (Estocolmo), UE (Londres), UE (Paris), Ásia-Pacífico (Mumbai), Canadá (Central), América do Sul (São Paulo), Oeste dos EUA (Norte da Califórnia), Oeste dos EUA (Oregon), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Singapura), Ásia-Pacífico (Sydney), UE (Irlanda), Leste dos EUA (Norte da Virgínia), UE (Frankfurt), Leste dos EUA (Ohio)


RDS:

África (Cidade do Cabo); Ásia-Pacífico (RAE de Hong Kong); Ásia-Pacífico (Hyderabad); Ásia-Pacífico (Melbourne); Ásia-Pacífico (Mumbai); Ásia-Pacífico (Osaka); Ásia-Pacífico (Seul); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Central); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); Europa (Zurique); Médio Oriente (EAU); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon).

A descoberta é feita localmente dentro da região.
Quais regiões GCP são suportadas? Tel Aviv (me-west1), Mumbai (asia-south1), Carolina do Sul (us-east1), Montréal (northamerica-northeast1), Iowa (us-central1), Oregon (us-west1), Bélgica (europe-west1), Northern Virginia (us-east4)
Preciso instalar um agente? Não, a descoberta não requer a instalação do agente.
Qual é o custo? O recurso está incluído nos planos Defender CSPM e Defender for Storage e não incorre em custos extras, exceto os respetivos custos do plano.
Outros custos A descoberta de dados confidenciais para contas de Armazenamento do Azure depende de outros serviços do Azure. Essa dependência pode resultar em custos extras, incluindo operações de leitura do Armazenamento do Azure.
De que permissões necessito para visualizar/editar definições de sensibilidade de dados? Você precisa de uma destas funções do Microsoft Entra:
  • Administrador de dados de conformidade, administrador de conformidade ou superior
  • Operador de Segurança, Administrador de Segurança ou superior
    		•
    De que permissões necessito para realizar a integração? Você precisa de uma dessas funções de controle de acesso baseado em função do Azure (Azure RBAC): Administrador de Segurança, Colaborador, Proprietário no nível de assinatura (onde residem o(s) projeto(s) GCP). Para consumir as descobertas de segurança: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador, Proprietário no nível de subscrição (onde o(s) projeto(s) GCP reside(m)).

    Definir configurações de sensibilidade de dados

    As principais etapas para definir as configurações de confidencialidade de dados incluem:

    Saiba mais sobre rótulos de sensibilidade no Microsoft Purview.

    Descoberta

    O Defender for Cloud começa a descobrir dados imediatamente após ativar um plano ou depois de ativar as funcionalidades do plano.

    Para armazenamento de objetos:

    • Os resultados estão disponíveis para descoberta inicial dentro de 24 horas.
    • Depois de atualizar os arquivos nos recursos descobertos, os dados são atualizados em oito dias.
    • Uma nova conta de armazenamento do Azure adicionada a uma assinatura já descoberta é descoberta dentro de 24 horas ou menos.
    • Um novo bucket do AWS S3 ou bucket de armazenamento do GCP adicionado a uma conta da AWS ou conta do Google já descoberta é descoberto em 48 horas ou menos.
    • A descoberta de dados confidenciais para armazenamento é realizada localmente em sua região. Isso garante que seus dados não saiam da sua região. Somente metadados de recursos, como arquivos, blobs, nomes de buckets, rótulos de sensibilidade detetados e nomes de SITs (Tipos de Informações Confidenciais) identificados, são transferidos para o Defender for Cloud.

    Para as bases de dados:

    • São digitalizados semanalmente.
    • Para subscrições recém-ativadas, os resultados são apresentados no prazo de 24 horas.

    Explorador de Segurança da Cloud

    Exibimos todos os tipos de armazenamento, incluindo Contas de Armazenamento do Azure, AWS Buckets e GCP Buckets, independentemente de suas perceções associadas. Para Contas de Armazenamento do Azure, que incluem Contêineres de Blob e Compartilhamentos de Arquivos, as seguintes regras se aplicam:

    • Os Contêineres de Blob são exibidos se atenderem a qualquer um dos seguintes critérios:

      • Eles têm o Contém informações sobre dados confidenciais.

      • Eles têm a visão sobre Acesso Público.

      • Eles têm uma regra de replicação de ou para outro blob.

    • Os Compartilhamentos de Arquivos serão exibidos somente se tiverem a informação "Contém Dados Confidenciais".

    Descobrir e verificar contas de armazenamento do Azure

    Para analisar as contas de armazenamento do Azure, o Microsoft Defender for Cloud cria um novo recurso storageDataScanner e atribui-lhe a função de Leitor de Dados de Blob de Armazenamento. Esta função concede as seguintes permissões:

    • Lista
    • Leia

    Para contas de armazenamento em redes privadas, incluímos o StorageDataScanner na lista de instâncias de recursos autorizadas na configuração de regras de rede da conta de armazenamento.

    Descubra e analise buckets do AWS S3

    Para proteger os recursos da AWS no Defender for Cloud, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.

    • Para descobrir recursos de dados da AWS, o Defender for Cloud atualiza o modelo do CloudFormation.
    • O modelo CloudFormation cria uma nova função no AWS IAM para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets do S3.
    • Para conectar contas da AWS, você precisa de permissões de administrador na conta.
    • A função permite estas permissões: S3 somente leitura; Desencriptação KMS.

    Descubra e analise instâncias do AWS RDS

    Para proteger os recursos da AWS no Defender for Cloud, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.

    • Para descobrir instâncias do AWS RDS, o Defender for Cloud atualiza o modelo do CloudFormation.
    • O modelo CloudFormation cria uma nova função no AWS IAM para permitir permissão para que o mecanismo de varredura do Defender for Cloud tire o último snapshot automatizado disponível da sua instância e o coloque online em um ambiente de varredura isolado na mesma região da AWS.
    • Para conectar contas da AWS, você precisa de permissões de administrador na conta.
    • Os snapshots automatizados precisam ser habilitados nas instâncias/clusters RDS relevantes.
    • A função permite essas permissões (revise o modelo do CloudFormation para obter definições exatas):
      • Listar todos os DBs/clusters RDS
      • Copie todos os snapshots de banco de dados/cluster
      • Excluir/atualizar DB/cluster snapshot com prefixo defenderfordatabases
      • Listar todas as chaves KMS
      • Utilize todas as chaves KMS apenas para o RDS na conta de origem.
      • Crie e tenha controle total sobre todas as chaves KMS com o prefixo de etiqueta DefenderForDatabases
      • Criar alias para chaves KMS
    • As chaves KMS são criadas uma vez para cada região que contém instâncias RDS. A criação de uma chave KMS pode incorrer em um custo extra mínimo, de acordo com a definição de preço do AWS KMS.

    Descubra e analise buckets de armazenamento GCP

    Para proteger os recursos do GCP no Defender for Cloud, configure um conector do Google usando um modelo de script para integrar a conta do GCP.

    • Para descobrir buckets de armazenamento GCP, o Defender for Cloud atualiza o modelo de script.
    • O modelo de script cria uma nova função na Conta do Google para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets de armazenamento do GCP.
    • Para conectar Contas do Google, você precisa de permissões de administrador na conta.

    Exposto à internet/permite o acesso do público

    Os caminhos de ataque do Defender CSPM e as informações do gráfico de segurança na nuvem incluem informações sobre recursos de armazenamento que estão expostos à Internet e permitem o acesso público. A tabela a seguir fornece mais detalhes.

    Estado Contas de armazenamento do Azure AWS S3 Buckets Buckets de armazenamento GCP
    Exposto à internet Uma conta de armazenamento do Azure é considerada exposta à Internet se uma destas configurações estiver habilitada:

    > Storage_account_name Rede de comunicação>Acesso de rede pública>Ativado a partir de todas as redes

    ou

    >Storage_account_name Rede>Acesso à rede pública>Ative a partir de redes virtuais e endereços IP selecionados.    		 Um bucket do AWS S3 é considerado exposto à Internet se as políticas de bucket da conta da AWS/AWS S3 não tiverem uma condição definida para endereços IP. Todos os buckets de armazenamento GCP são expostos à Internet por padrão.
    Permite o acesso público Um contêiner de conta de armazenamento do Azure é considerado como permitindo acesso público se estas configurações estiverem habilitadas na conta de armazenamento:

    Storage_account_nameConfiguraçãoPermitir acesso anónimo ao Blobativo.

    e qualquer uma destas configurações:

    > Storage_account_name Contêineres> container_name >Nível de acesso público definido como Blob (acesso de leitura anônimo somente para blobs)

    Ou, storage_account_name >Contêineres> container_name >Nível de acesso público definido como Contêiner (acesso de leitura anônimo para contêineres e blobs).    		 Considera-se que um bucket do AWS S3 permite acesso público se a conta da AWS e o bucket do AWS S3 tiverem Bloquear todo o acesso público definido como Desativado e qualquer uma destas configurações estiver definida:

    Na política, RestrictPublicBuckets não está habilitado e a configuração Principal está definida como * e Effect está definida como Allow.

    Ou, na lista de controle de acesso, IgnorePublicAcl não está habilitado e a permissão é permitida para Todos ou para usuários autenticados.    		 Considera-se que um bucket de armazenamento GCP permite acesso público se: ele tiver uma função do IAM (Gerenciamento de Identidade e Acesso) que atenda a estes critérios:

    A função é concedida ao utilizador principal allUsers ou allAuthenticatedUsers.

    A função tem pelo menos uma permissão de armazenamento que não éstorage.buckets.create ou storage.buckets.list. O acesso público no GCP é denominado Público à Internet.

    Os recursos do banco de dados não permitem o acesso público, mas ainda podem ser expostos à Internet.

    Estão disponíveis informações sobre a exposição na Internet para os seguintes recursos:

    Azure:

    • Servidor SQL do Azure
    • Azure Cosmos DB
    • Azure SQL Managed Instance
    • Azure MySQL Servidor Único
    • Azure MySQL Servidor Flexível
    • Azure PostgreSQL Servidor Único
    • Azure PostgreSQL Flexible Server
    • Azure MariaDB Servidor Único
    • Espaço de trabalho Sinapse

    AWS:

    • Instância do RDS

    Nota

    • As regras de exposição que incluem 0.0.0.0/0 são consideradas "excessivamente expostas", o que significa que podem ser acedidas a partir de qualquer IP público.
    • Os recursos do Azure com a regra de exposição "0.0.0.0" são acessíveis a partir de qualquer recurso no Azure (independentemente do inquilino ou da subscrição).

    Conteúdos relacionados

    Habilite o gerenciamento de postura de segurança de dados.

    • Last updated on