Suporte e pré-requisitos para a gestão da postura de segurança de dados

Analise os requisitos nesta página antes de configurar o gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud.

Habilitando a descoberta de dados confidenciais

A descoberta de dados confidenciais está disponível nos planos Defender CSPM, Defender for Storage e Defender for Databases.

  • Quando você habilita um dos planos, a extensão de descoberta de dados confidenciais é ativada como parte do plano.
  • Se você tiver planos existentes em execução, a extensão estará disponível, mas desativada por padrão.
  • O status do plano existente será exibido como "Parcial" em vez de "Completo" se uma ou mais extensões não estiverem ativadas.
  • O recurso é ativado no nível da assinatura.
  • Se a descoberta de dados confidenciais estiver ativada, mas o Defender CSPM não estiver habilitado, apenas os recursos de armazenamento serão verificados.
  • Se uma assinatura estiver habilitada com o Defender CSPM e, em paralelo, você digitalizou os mesmos recursos com o Purview, o resultado da verificação do Purview será ignorado e o padrão será exibido como padrão os resultados da verificação do Microsoft Defender for Cloud para o tipo de recurso suportado.

O que é suportado

A tabela resume a disponibilidade e os cenários suportados para a descoberta de dados confidenciais.

Suporte Detalhes
Que recursos de dados do Azure posso descobrir? Armazenamento de objetos:

Bloquear contas de armazenamento de blob no Armazenamento do Azure v1/v2

Azure Data Lake Storage Gen2

Há suporte para contas de armazenamento por trás de redes privadas.

Há suporte para contas de armazenamento criptografadas com uma chave do lado do servidor gerenciada pelo cliente.

As contas não são suportadas se um ponto de extremidade de conta de armazenamento tiver um domínio personalizado mapeado para ele.


Bases de dados

Bancos de Dados SQL do Azure

Banco de Dados SQL do Azure criptografado com criptografia de dados transparente
Quais recursos de dados da AWS posso descobrir? Armazenamento de objetos:

Buckets do AWS S3

O Defender for Cloud pode descobrir dados criptografados por KMS, mas não dados criptografados com uma chave gerenciada pelo cliente.

Bases de dados

- Amazônia Aurora
- Amazon RDS para PostgreSQL
- Amazon RDS para MySQL
- Amazon RDS para MariaDB
- Amazon RDS para SQL Server (não personalizado)
- Amazon RDS for Oracle Database (não personalizado, apenas SE2 Edition)

Pré-requisitos e limitações:
- Os backups automatizados precisam ser ativados.
- A função do IAM criada para fins de verificação (DefenderForCloud-DataSecurityPostureDB por padrão) precisa ter permissões para a chave KMS usada para a criptografia da instância RDS.
- Não é possível compartilhar um DB snapshot que usa um grupo de opções com opções permanentes ou persistentes, exceto para instâncias de banco de dados Oracle que têm a opção Timezone ou OLS (ou ambas). Mais informações
Que recursos de dados do GCP posso descobrir? Buckets de armazenamento GCP
Classe Standard
Geo: região, região dupla, multi-região
De que permissões necessito para a descoberta? Conta de armazenamento: Proprietário da subscrição
or
Microsoft.Authorization/roleAssignments/* (ler, escrever, apagar) e Microsoft.Security/pricings/* (ler, escrever, eliminar) e Microsoft.Security/pricings/SecurityOperators (ler, escrever)

Buckets do Amazon S3 e instâncias do RDS: permissão da conta da AWS para executar o Cloud Formation (para criar uma função).

Buckets de armazenamento GCP: permissão da Conta do Google para executar scripts (para criar uma função).
Quais tipos de arquivo são suportados para a descoberta de dados confidenciais? Tipos de ficheiro suportados (não é possível selecionar um subconjunto) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Quais regiões do Azure são suportadas? Você pode descobrir contas de armazenamento do Azure em:

Ásia Oriental; Ásia Sudeste; Austrália Central; Austrália Central 2; Austrália Leste; Austrália Sudeste; Sul do Brasil; Brasil Sudeste; Canadá Central; Canadá Leste; Europa do Norte; Europa Ocidental; França Central; França Sul; Alemanha Norte; Alemanha Centro-Oeste; Índia Central; Índia Sul; Leste do Japão; Japão Ocidental; Jio Índia Oeste; Coreia Central; Coreia do Sul; Leste da Noruega; Noruega Oeste; África do Sul Norte; África do Sul Ocidental; Suécia Central; Suíça Norte; Suíça Oeste; Emirados Árabes Unidos Norte; Sul do Reino Unido; Oeste do Reino Unido; US Central; Leste dos EUA; Leste dos EUA 2; Centro-Norte dos EUA; Centro-Sul dos EUA; Oeste dos EUA; Oeste dos EUA 2; Oeste dos EUA 3; Centro-Oeste dos EUA;

Você pode descobrir os Bancos de Dados SQL do Azure em qualquer região onde o Defender CSPM e os Bancos de Dados SQL do Azure são suportados.
Quais regiões da AWS são compatíveis? S3:

Ásia-Pacífico (Mumbai); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Montreal); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon).


RDS:

África (Cidade do Cabo); Ásia-Pacífico (RAE de Hong Kong); Ásia-Pacífico (Hyderabad); Ásia-Pacífico (Melbourne); Ásia-Pacífico (Mumbai); Ásia-Pacífico (Osaka); Ásia-Pacífico (Seul); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Central); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); Europa (Zurique); Médio Oriente (EAU); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon).

A descoberta é feita localmente dentro da região.
Quais regiões GCP são suportadas? Europa-Oeste1, EUA-Leste1, EUA-Oeste1, EUA-Central1, EUA-Leste4, Ásia-Sul1, América do Norte-Nordeste1
Preciso instalar um agente? Não, a descoberta não requer a instalação do agente.
Qual é o custo? O recurso está incluído nos planos Defender CSPM e Defender for Storage e não incorre em custos extras, exceto os respetivos custos do plano.
De que permissões necessito para visualizar/editar definições de sensibilidade de dados? Você precisa de uma destas funções do Microsoft Entra:
  • Administrador de dados de conformidade, administrador de conformidade ou superior
  • Operador de Segurança, Administrador de Segurança ou superior
  • De que permissões necessito para realizar a integração? Você precisa de uma dessas funções de controle de acesso baseado em função do Azure (Azure RBAC): Administrador de Segurança, Colaborador, Proprietário no nível de assinatura (onde residem o(s) projeto(s) GCP). Para consumir as descobertas de segurança: Leitor de segurança, Administrador de segurança, Leitor, Colaborador, Proprietário no nível de assinatura (onde residem o(s) projeto(s) GCP).

    Definindo configurações de sensibilidade de dados

    As principais etapas para definir as configurações de confidencialidade de dados incluem:

    Saiba mais sobre rótulos de sensibilidade no Microsoft Purview.

    Deteção

    O Defender for Cloud começa a descobrir dados imediatamente após ativar um plano ou depois de ativar o recurso em planos que já estão em execução.

    Para armazenamento de objetos:

    • Demora até 24 horas a ver os resultados para uma primeira descoberta.
    • Depois que os arquivos são atualizados nos recursos descobertos, os dados são atualizados em oito dias.
    • Uma nova conta de armazenamento do Azure adicionada a uma assinatura já descoberta é descoberta em 24 horas ou menos.
    • Um novo bucket do AWS S3 ou bucket de armazenamento do GCP adicionado a uma conta da AWS ou conta do Google já descoberta é descoberto em 48 horas ou menos.
    • A descoberta de dados confidenciais para armazenamento é realizada localmente em sua região. Isso garante que seus dados não saiam da sua região. Somente metadados de recursos, como arquivos, blobs, nomes de buckets, rótulos de sensibilidade detetados e nomes de SITs (Tipos de Informações Confidenciais) identificados, são transferidos para o Defender for Cloud.

    Para as bases de dados:

    • As bases de dados são analisadas semanalmente.
    • Para subscrições recém-ativadas, os resultados são apresentados no prazo de 24 horas.

    Descobrindo e verificando contas de armazenamento do Azure

    Para verificar as contas de armazenamento do Azure, o Microsoft Defender for Cloud cria um novo storageDataScanner recurso e atribui-lhe a função de Leitor de Dados de Blob de Armazenamento . Esta função concede as seguintes permissões:

    • Listagem
    • Lida

    Para contas de armazenamento atrás de redes privadas, incluímos o StorageDataScanner na lista de instâncias de recursos permitidos na configuração de regras de rede da conta de armazenamento.

    Descoberta e verificação de buckets do AWS S3

    Para proteger os recursos da AWS no Defender for Cloud, você configura um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.

    • Para descobrir recursos de dados da AWS, o Defender for Cloud atualiza o modelo do CloudFormation.
    • O modelo CloudFormation cria uma nova função no AWS IAM, para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets do S3.
    • Para conectar contas da AWS, você precisa de permissões de administrador na conta.
    • A função permite estas permissões: S3 somente leitura; Desencriptação KMS.

    Descoberta e verificação de instâncias do AWS RDS

    Para proteger os recursos da AWS no Defender for Cloud, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.

    • Para descobrir instâncias do AWS RDS, o Defender for Cloud atualiza o modelo do CloudFormation.
    • O modelo CloudFormation cria uma nova função no AWS IAM, para permitir a permissão para que o scanner do Defender for Cloud tire o último snapshot automatizado disponível da sua instância e o coloque online em um ambiente de varredura isolado dentro da mesma região da AWS.
    • Para conectar contas da AWS, você precisa de permissões de administrador na conta.
    • Os snapshots automatizados precisam ser habilitados nas instâncias/clusters RDS relevantes.
    • A função permite essas permissões (revise o modelo do CloudFormation para obter definições exatas):
      • Listar todos os DBs/clusters RDS
      • Copie todos os snapshots de banco de dados/cluster
      • Excluir/atualizar DB/cluster snapshot com prefixo defenderfordatabases
      • Listar todas as chaves KMS
      • Usar todas as chaves KMS somente para RDS na conta de origem
      • Crie controle total de & em todas as chaves KMS com o prefixo de tag DefenderForDatabases
      • Criar alias para chaves KMS
    • As chaves KMS são criadas uma vez para cada região que contém instâncias RDS. A criação de uma chave KMS pode incorrer em um custo extra mínimo, de acordo com a definição de preço do AWS KMS.

    Descobrindo e verificando buckets de armazenamento GCP

    Para proteger os recursos do GCP no Defender for Cloud, você pode configurar um conector do Google usando um modelo de script para integrar a conta do GCP.

    • Para descobrir buckets de armazenamento GCP, o Defender for Cloud atualiza o modelo de script.
    • O modelo de script cria uma nova função na Conta do Google para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets de armazenamento do GCP.
    • Para conectar Contas do Google, você precisa de permissões de administrador na conta.

    Exposto à internet/permite o acesso do público

    Os caminhos de ataque do Defender CSPM e as informações do gráfico de segurança na nuvem incluem informações sobre recursos de armazenamento que estão expostos à Internet e permitem o acesso público. A tabela a seguir fornece mais detalhes.

    Distrito Contas de armazenamento do Azure AWS S3 Buckets Buckets de armazenamento GCP
    Exposto à internet Uma conta de armazenamento do Azure é considerada exposta à Internet se uma destas configurações estiver habilitada:

    >Storage_account_name Rede>Acesso à>rede pública Ativado a partir de todas as redes

    ou

    >Storage_account_name Rede>Acesso à>rede pública Habilite a partir de redes virtuais e endereços IP selecionados.
    Um bucket do AWS S3 é considerado exposto à Internet se as políticas de bucket da conta da AWS/AWS S3 não tiverem uma condição definida para endereços IP. Todos os buckets de armazenamento GCP são expostos à Internet por padrão.
    Permite o acesso público Um contêiner de conta de armazenamento do Azure é considerado como permitindo acesso público se estas configurações estiverem habilitadas na conta de armazenamento:

    >Configuração Storage_account_name Permitir>acesso>anônimo de blob habilitado.

    e qualquer uma destas configurações:

    >Storage_account_name Contêineres> container_name> Nível de acesso público definido como Blob (acesso de leitura anônimo somente para blobs)

    Ou, storage_account_name >Containers> container_name> Nível de acesso público definido como Container (acesso de leitura anônimo para contêineres e blobs).
    Considera-se que um bucket do AWS S3 permite acesso público se a conta da AWS e o bucket do AWS S3 tiverem Bloquear todo o acesso público definido como Desativado e qualquer uma destas configurações estiver definida:

    Na política, RestrictPublicBuckets não está habilitado e a configuração Principal está definida como * e Effect está definida como Allow.

    Ou, na lista de controle de acesso, IgnorePublicAcl não está habilitado e a permissão é permitida para Todos ou para usuários autenticados.
    Considera-se que um bucket de armazenamento GCP permite acesso público se: ele tiver uma função do IAM (Gerenciamento de Identidade e Acesso) que atenda a estes critérios:

    A função é concedida ao principal allUsers ou allAuthenticatedUsers.

    A função tem pelo menos uma permissão de armazenamento que não é storage.buckets.create ou storage.buckets.list. O acesso público no GCP é chamado de Público à Internet.

    Os recursos do banco de dados não permitem o acesso público, mas ainda podem ser expostos à Internet.

    Estão disponíveis informações sobre a exposição na Internet para os seguintes recursos:

    Azure:

    • Servidor SQL do Azure
    • Azure Cosmos DB
    • Instância Gerida do Azure SQL
    • Azure MySQL Servidor Único
    • Azure MySQL Servidor Flexível
    • Azure PostgreSQL Servidor Único
    • Azure PostgreSQL Flexible Server
    • Azure MariaDB Servidor Único
    • Espaço de trabalho Sinapse

    AWS:

    • Instância do RDS

    Nota

    • As regras de exposição que incluem 0.0.0.0/0 são consideradas "excessivamente expostas", o que significa que podem ser acedidas a partir de qualquer IP público.
    • Os recursos do Azure com a regra de exposição "0.0.0.0" são acessíveis a partir de qualquer recurso no Azure (independentemente do inquilino ou da subscrição).

    Próximo passo

    Habilite o gerenciamento de postura de segurança de dados.