Habilite o gerenciamento de postura de segurança de dados
Este artigo descreve como habilitar o gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud.
Antes de começar
- Antes de habilitar o gerenciamento de postura de segurança de dados, revise o suporte e os pré-requisitos.
- Quando você habilita os planos Defender CSPM ou Defender for Storage, a extensão de descoberta de dados confidenciais é habilitada automaticamente. Você pode desativar essa configuração se não quiser usar o gerenciamento de postura de segurança de dados, mas recomendamos que você use o recurso para obter o máximo valor do Defender for Cloud.
- Os dados confidenciais são identificados com base nas configurações de sensibilidade de dados no Defender for Cloud. Você pode personalizar as configurações de confidencialidade de dados para identificar os dados que sua organização considera confidenciais.
- Leva até 24 horas para ver os resultados de uma primeira descoberta depois de ativar o recurso.
Habilitar no Defender CSPM (Azure)
Siga estas etapas para habilitar o gerenciamento de postura de segurança de dados. Não se esqueça de rever as permissões necessárias antes de começar.
Navegue até as configurações do Microsoft Defender for Cloud>Environment.
Selecione a subscrição do Azure relevante.
Para o plano Defender CSPM, selecione o status Ativado .
Se o Defender CSPM já estiver ativado, selecione Configurações na coluna Cobertura de monitoramento do plano Defender CSPM e verifique se o componente Descoberta de dados confidenciais está definido como Status ativado .
Quando a descoberta de dados confidenciais estiver ativada no Defender CSPM, ela incorporará automaticamente o suporte para tipos de recursos adicionais à medida que o intervalo de tipos de recursos suportados se expande.
Ativar no Defender CSPM (AWS)
Antes de começar
- Não se esqueça de: revise os requisitos para a descoberta da AWS e as permissões necessárias.
- Verifique se não há nenhuma política que bloqueie a conexão com seus buckets do Amazon S3.
- Para instâncias RDS: a criptografia KMS entre contas é suportada, mas políticas adicionais de acesso KMS podem impedir o acesso.
Habilite para recursos da AWS
Buckets do S3 e instâncias RDS
- Habilitar a postura de segurança de dados conforme descrito acima
- Continue com as instruções para baixar o modelo do CloudFormation e executá-lo na AWS.
A descoberta automática de buckets do S3 na conta da AWS é iniciada automaticamente.
Para buckets do S3, o scanner do Defender for Cloud é executado em sua conta da AWS e se conecta aos buckets do S3.
Para instâncias RDS, a descoberta será acionada assim que a Descoberta de Dados Confidenciais estiver ativada. O mecanismo de varredura tirará o instantâneo automatizado mais recente para uma instância, criará um instantâneo manual na conta de origem e o copiará para um ambiente isolado de propriedade da Microsoft dentro da mesma região.
O snapshot é usado para criar uma instância ativa que é girada, digitalizada e, em seguida, imediatamente destruída (juntamente com o snapshot copiado).
Apenas os resultados da varredura são relatados pela plataforma de varredura.
Verifique se há políticas de bloqueio do S3
Se o processo de ativação não funcionou devido a uma política bloqueada, verifique o seguinte:
- Verifique se a política de bucket do S3 não bloqueia a conexão. No bucket do AWS S3, selecione a guia > Permissões Política de bucket. Verifique os detalhes da política para garantir que o serviço de varredura do Microsoft Defender for Cloud em execução na conta da Microsoft na AWS não esteja bloqueado.
- Certifique-se de que não há nenhuma política SCP que bloqueie a conexão com o bucket do S3. Por exemplo, sua política de SCP pode bloquear chamadas de API de leitura para a região da AWS onde seu bucket do S3 está hospedado.
- Verifique se essas chamadas de API necessárias são permitidas pela sua política de SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
- Verifique se sua política de SCP permite chamadas para a região da AWS us-east-1, que é a região padrão para chamadas de API.
Habilite o monitoramento com reconhecimento de dados no Defender for Storage
A deteção de ameaças a dados confidenciais é habilitada por padrão quando o componente de descoberta de dados confidenciais está habilitado no plano do Defender for Storage. Mais informações.
Somente os recursos do Armazenamento do Azure serão verificados se o plano CSPM do Defender estiver desativado.