Rever as recomendações de segurança

No Microsoft Defender for Cloud, os recursos e cargas de trabalho são avaliados em relação aos padrões de segurança internos e personalizados habilitados em suas assinaturas do Azure, contas da AWS e projetos GCP. Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para remediar problemas de segurança e melhorar a postura de segurança.

O Defender for Cloud utiliza proativamente um mecanismo dinâmico que avalia os riscos em seu ambiente, levando em consideração o potencial de exploração e o potencial impacto nos negócios para sua organização. O mecanismo prioriza recomendações de segurança com base nos fatores de risco de cada recurso, que são determinados pelo contexto do ambiente, incluindo a configuração do recurso, conexões de rede e postura de segurança.

Pré-requisitos

Nota

As recomendações são incluídas por padrão no Defender for Cloud, mas você não poderá ver a priorização de risco sem o Defender CSPM habilitado em seu ambiente.

Rever os detalhes da recomendação

É importante rever todos os detalhes relacionados a uma recomendação antes de tentar entender o processo necessário para resolver a recomendação. Recomendamos garantir que todos os detalhes da recomendação estejam corretos antes de resolver a recomendação.

Para rever os detalhes de uma recomendação:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Recomendações do Defender for Cloud>.

  3. Selecione uma recomendação.

  4. Na página de recomendação, analise os detalhes:

    • Nível de risco - A capacidade de exploração e o impacto comercial do problema de segurança subjacente, tendo em conta o contexto dos recursos ambientais, tais como: exposição à Internet, dados sensíveis, movimento lateral e muito mais.
    • Fatores de risco - Fatores ambientais do recurso afetado pela recomendação, que influenciam a capacidade de exploração e o impacto comercial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados sensíveis, potencial de movimento lateral.
    • Recurso - O nome do recurso afetado.
    • Status - O status da recomendação. Por exemplo, não atribuído, dentro do prazo, vencido.
    • Descrição - Uma breve descrição do problema de segurança.
    • Caminhos de ataque - O número de caminhos de ataque.
    • Âmbito - A subscrição ou recurso afetado.
    • Frescura - O intervalo de frescura para a recomendação.
    • Data da última alteração - A data da última alteração desta recomendação
    • Severidade - A gravidade da recomendação (Alta, Média ou Baixa). Mais detalhes abaixo.
    • Proprietário - A pessoa designada para esta recomendação.
    • Data de vencimento - A data atribuída à recomendação deve ser resolvida.
    • Táticas e técnicas - As táticas e técnicas mapeadas para MITRE ATT&CK.

Explore uma recomendação

Você pode executar muitas ações para interagir com recomendações. Se uma opção não estiver disponível, ela não é relevante para a recomendação.

Para explorar uma recomendação:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Recomendações do Defender for Cloud>.

  3. Selecione uma recomendação.

  4. Na recomendação, você pode executar as seguintes ações:

    • Selecione Abrir consulta para exibir informações detalhadas sobre os recursos afetados usando uma consulta do Azure Resource Graph Explorer.

    • Selecione Exibir definição de política para exibir a entrada da Política do Azure para a recomendação subjacente (se relevante).

  5. Em Agir:

    • Corrigir: uma descrição das etapas manuais necessárias para corrigir o problema de segurança nos recursos afetados. Para obter recomendações com a opção Corrigir , você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.

    • Atribuir proprietário e data de conclusão: se você tiver uma regra de governança ativada para a recomendação, poderá atribuir um proprietário e uma data de vencimento.

    • Isentar: você pode isentar recursos da recomendação ou desabilitar descobertas específicas usando regras de desativação.

    • Automação do fluxo de trabalho: defina um aplicativo lógico para ser acionado com esta recomendação.

    Captura de tela que mostra o que você pode ver na recomendação quando seleciona a guia Executar ação.

  6. Em Descobertas, você pode revisar descobertas afiliadas por gravidade.

    Captura de tela da guia descobertas em uma recomendação que mostra todos os caminhos de ataque para essa recomendação.

  7. No Graph, você pode exibir e investigar todo o contexto usado para priorização de risco, incluindo caminhos de ataque. Você pode selecionar um nó em um caminho de ataque para exibir os detalhes do nó selecionado.

    Captura de ecrã do separador gráfico numa recomendação que mostra todos os caminhos de ataque para essa recomendação.

  8. Selecione um nó para visualizar detalhes adicionais.

    Captura de tela de um nó localizado na guia do gráfico que está selecionado e mostrando os detalhes adicionais.

  9. Selecione Informações.

  10. No menu suspenso de vulnerabilidade, selecione uma vulnerabilidade para exibir os detalhes.

    Captura de ecrã do separador de informações para um nó específico.

  11. (Opcional) Selecione Abrir a página de vulnerabilidade para visualizar a página de recomendação associada.

  12. Remediar a recomendação.

Recomendações do grupo por título

A página de recomendações do Defender for Cloud permite agrupar recomendações por título. Esse recurso é útil quando você deseja corrigir uma recomendação que está afetando vários recursos causados por um problema de segurança específico.

Para agrupar recomendações por título:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Recomendações do Defender for Cloud>.

  3. Selecione Grupo por título.

    Captura de tela da página de recomendações que mostra onde a alternância de grupo por título está localizada na tela.

Gerenciar recomendações atribuídas a você

O Defender for Cloud suporta regras de governança para recomendações, para especificar um proprietário de recomendação ou data de vencimento para ação. As regras de governança ajudam a garantir a prestação de contas e um SLA para recomendações.

  • As recomendações são listadas como Dentro do prazo até que sua data de vencimento seja aprovada, quando são alteradas para Atrasadas.
  • Antes de a recomendação estar atrasada, a recomendação não afeta a pontuação segura.
  • Você também pode aplicar um período de carência durante o qual as recomendações em atraso continuam a não afetar a pontuação segura.

Saiba mais sobre como configurar regras de governança.

Para gerenciar as recomendações atribuídas a você:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Recomendações do Defender for Cloud>.

  3. Selecione Adicionar proprietário do filtro>.

  4. Selecione sua entrada de usuário.

  5. Selecione Aplicar.

  6. Nos resultados da recomendação, revise as recomendações, incluindo recursos afetados, fatores de risco, caminhos de ataque, datas de vencimento e status.

  7. Selecione uma recomendação para analisá-la ainda mais.

  8. Em Agir>Alterar proprietário & data de conclusão, selecione Editar atribuição para alterar o proprietário da recomendação e a data de conclusão, se necessário.

    • Por padrão, o proprietário do recurso recebe um e-mail semanal listando as recomendações atribuídas a ele.
    • Se você selecionar uma nova data de correção, em Justificativa , especifique os motivos da correção até essa data.
    • Em Definir notificações por e-mail, você pode:
      • Substitua o e-mail semanal padrão para o proprietário.
      • Notifique os proprietários semanalmente com uma lista de tarefas abertas/vencidas.
      • Notifique o gerente direto do proprietário com uma lista de tarefas aberta.
  9. Selecione Guardar.

Nota

Alterar a data de conclusão esperada não altera a data de conclusão da recomendação, mas os parceiros de segurança podem ver que você planeja atualizar os recursos até a data especificada.

Rever recomendações no Azure Resource Graph

Você pode usar o Gráfico de Recursos do Azure para escrever uma KQL (Kusto Query Language) para consultar dados de postura de segurança do Defender for Cloud em várias assinaturas. O Azure Resource Graph fornece uma maneira eficiente de consultar em escala em ambientes de nuvem exibindo, filtrando, agrupando e classificando dados.

Para rever as recomendações no Azure Resource Graph:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Recomendações do Defender for Cloud>.

  3. Selecione uma recomendação.

  4. Selecione Abrir consulta.

  5. Você pode abrir a consulta de duas maneiras:

    • Consulta que retorna recurso afetado - Retorna uma lista de todos os recursos afetados por esta recomendação.
    • Consulta que retorna descobertas de segurança - Retorna uma lista de todos os problemas de segurança encontrados pela recomendação.
  6. Selecione Executar consulta.

    Captura de ecrã do Azure Resource Graph Explorer a mostrar os resultados da recomendação mostrada na captura de ecrã anterior.

  7. Reveja os resultados.

Como são classificadas as recomendações?

A cada recomendação de segurança do Defender for Cloud é atribuída uma das três classificações de gravidade:

  • Alta gravidade: essas recomendações devem ser abordadas imediatamente, pois indicam uma vulnerabilidade crítica de segurança que pode ser explorada por um invasor para obter acesso não autorizado aos seus sistemas ou dados. Exemplos de recomendações de alta gravidade são quando descobrimos segredos desprotegidos em uma máquina, regras NSG de entrada excessivamente permissivas, clusters que permitem a implantação de imagens de registros não confiáveis e acesso público irrestrito a contas de armazenamento ou bancos de dados.

  • Gravidade média: Estas recomendações indicam um potencial risco de segurança que deve ser abordado em tempo útil, mas pode não exigir atenção imediata. Exemplos de recomendações de gravidade média podem incluir contêineres que compartilham namespaces de host confidenciais, aplicativos Web que não usam identidades gerenciadas, máquinas Linux que não exigem chaves SSH durante a autenticação e credenciais não utilizadas sendo deixadas no sistema após 90 dias de inatividade.

  • Baixa gravidade: essas recomendações indicam um problema de segurança relativamente pequeno que pode ser resolvido de acordo com sua conveniência. Exemplos de recomendações de baixa gravidade podem incluir a necessidade de desabilitar a autenticação local em favor do Microsoft Entra ID, problemas de integridade com sua solução de proteção de ponto final, práticas recomendadas que não estão sendo seguidas com grupos de segurança de rede ou configurações de log mal configuradas que podem dificultar a deteção e resposta a incidentes de segurança.

É claro que as visões internas de uma organização podem diferir com a classificação da Microsoft de uma recomendação específica. Por isso, é sempre uma boa ideia rever cuidadosamente cada recomendação e considerar o seu potencial impacto na sua postura de segurança antes de decidir como lidar com ela.

Nota

Os clientes do Defender CSPM têm acesso a um sistema de classificação mais rico, onde as recomendações são mostradas com um nível de risco mais dinâmico que utiliza o contexto do recurso e todos os recursos relacionados. Saiba mais sobre a priorização de riscos.

Exemplo

Neste exemplo, esta página de detalhes da recomendação mostra 15 recursos afetados:

Captura de ecrã do botão Abrir Consulta na página de detalhes da recomendação.

Quando você abre a consulta subjacente e a executa, o Azure Resource Graph Explorer retorna os mesmos recursos afetados para essa recomendação.

Próximo passo