Avaliação de linhas de base de segurança

Aplica-se a:

Nota

Para utilizar esta funcionalidade, irá precisar da Gestão de Vulnerabilidades do Microsoft Defender Autónoma ou, se já for cliente do Microsoft Defender para Endpoint Plano 2, o suplemento Gestão de Vulnerabilidades do Defender.

Em vez de executar análises de conformidade intermináveis, a avaliação das linhas de base de segurança ajuda-o a monitorizar de forma contínua e fácil a conformidade das linhas de base de segurança da sua organização e a identificar alterações em tempo real.

Um perfil de linha de base de segurança é um perfil personalizado que pode criar para avaliar e monitorizar pontos finais na sua organização em comparação com os testes de referência de segurança do setor. Quando cria um perfil de linha de base de segurança, está a criar um modelo que consiste em várias definições de configuração de dispositivos e uma referência base para comparar.

As linhas de base de segurança fornecem suporte para referências do Center for Internet Security (CIS) para Windows 10, Windows 11 e Windows Server 2008 R2 e superior, bem como referências de Guias de Implementação Técnica de Segurança (STIG) para Windows 10 e Windows Server 2019.

Nota

Atualmente, os testes de referência só suportam configurações de Objetos de Política de Grupo (GPO) e não o Microsoft Configuration Manager (Intune).

Sugestão

Sabia que pode experimentar todas as funcionalidades da Gestão de Vulnerabilidades do Microsoft Defender gratuitamente? Saiba como se inscrever numa avaliação gratuita.

Nota

A avaliação da linha de base de segurança não é suportada quando o DFSS (Agendamento de Frações Justas Dinâmicas) está ativado no Windows Server 2012 R2.

Introdução à avaliação de linhas de base de segurança

  1. Aceda aAvaliação de Linhas de Base de Gestão> de vulnerabilidades no portal do Microsoft Defender.

  2. Selecione o separador Perfis na parte superior e, em seguida, selecione o botão Criar perfil .

  3. Introduza um nome e uma descrição para o perfil de linhas de base de segurança e selecione Seguinte.

  4. Na página Âmbito do perfil de linha de base, defina as definições de perfil, como software, referência base (CIS ou STIG) e o nível de conformidade e selecione Seguinte.

  5. Selecione as configurações que pretende incluir no perfil.

    Captura de ecrã da página adicionar definições de configuração

    Selecione Personalizar se pretender alterar o valor de configuração do limiar para a sua organização.

    Captura de ecrã da página personalizar definições de configuração

  6. Selecione Seguinte para escolher os grupos de dispositivos e as etiquetas de dispositivo que pretende incluir no perfil de linha de base. O perfil será aplicado automaticamente aos dispositivos adicionados a estes grupos no futuro.

  7. Selecione Seguinte para rever o perfil.

  8. Selecione Submeter para criar o seu perfil.

  9. Na página final, selecione Ver página de perfil para ver os resultados da avaliação.

Nota

Pode criar múltiplos perfis para o mesmo sistema operativo com várias personalizações.

Quando personalizar uma configuração, será apresentado um ícone ao lado do mesmo para indicar que foi personalizado e que já não está a utilizar o valor recomendado. Selecione o botão de reposição para reverter para o valor recomendado.

Ícones úteis a ter em conta:

Configuração personalizada anteriormente – esta configuração já foi personalizada anteriormente. Ao criar um novo perfil se selecionar Personalizar, verá as variações disponíveis que pode escolher.

Não está a utilizar o valor predefinido – esta configuração foi personalizada e não está a utilizar o valor predefinido.

Descrição geral da avaliação das linhas de base de segurança

Na página de descrição geral da avaliação de linhas de base de segurança, pode ver a conformidade do dispositivo, a conformidade do perfil, os principais dispositivos com falhas e os principais dispositivos configurados incorretamente.

Rever os resultados da avaliação do perfil de linha de base de segurança

  1. Na página Perfis , selecione qualquer um dos seus perfis para abrir uma lista de opções com informações adicionais.

    Captura de ecrã da página do perfil de linha de base

  2. Selecione Abrir página de perfil. A página de perfil contém dois separadores Configurações e Dispositivos.

Ver por configuração

No separador Configurações , pode rever a lista de configurações e avaliar o estado de conformidade comunicado.

Separador Configuração na página de perfil

Ao selecionar uma configuração na lista, verá uma lista de opções com detalhes para a definição de política, incluindo o valor recomendado (o intervalo de valores esperado para um dispositivo ser considerado conforme) e a origem utilizada para determinar as definições atuais do dispositivo.

Detalhes da lista de opções de configuração na página de perfil

O separador Dispositivos mostra uma lista de todos os dispositivos aplicáveis e o respetivo estado de conformidade em relação a esta configuração específica. Para cada dispositivo, pode utilizar o valor atual detetado para ver por que motivo está em conformidade ou não conforme.

Captura de ecrã da página de conformidade da linha de base

Ver por dispositivo

No separador Dispositivos principal, pode rever a lista de dispositivos e avaliar o estado de conformidade comunicado.

Ao selecionar um dispositivo na lista, verá uma lista de opções com detalhes adicionais.

Separador Dispositivos na página de perfil

Selecione o separador Configuração para ver a conformidade deste dispositivo específico em relação a todas as configurações de perfil.

Na parte superior do painel lateral do dispositivo, selecione Abrir página do dispositivo para aceder à página do dispositivo no inventário de dispositivos. A página do dispositivo apresenta o separador Conformidade da linha de base que fornece visibilidade granular sobre a conformidade do dispositivo.

Ao selecionar uma configuração na lista, verá uma lista de opções com detalhes de conformidade para a definição de política neste dispositivo.

Criar e gerir exceções

Pode ter casos em que não quer avaliar configurações específicas em determinados dispositivos. Por exemplo, um dispositivo pode estar sob controlo de terceiros ou pode ter uma mitigação alternativa já implementada. Nestas situações, pode adicionar exceções para excluir a avaliação de configurações específicas num dispositivo.

Os dispositivos incluídos em exceções não serão avaliados relativamente às configurações especificadas nos perfis de linha de base. Isto significa que não afetará as métricas e a classificação de uma organização e pode ajudar a fornecer às organizações uma visão mais clara da respetiva conformidade.

Para ver exceções:

  1. Aceda aAvaliação de Linhas de Base de Gestão> de vulnerabilidades no portal do Microsoft Defender.
  2. Selecione o separador Exceções na parte superior

Separador Exceções na página de perfil

Para adicionar uma nova exceção:

  1. No separador Exceções , selecione o botão Criar .

  2. Preencha os detalhes solicitados, incluindo o motivo da justificação e a duração.

  3. Selecione Seguinte.

  4. Na página Âmbito da configuração , selecione o software, a referência base e o nível de conformidade e selecione Seguinte.

  5. Selecione as configurações que pretende adicionar à exceção.

    Captura de ecrã da página de exceções de configuração

  6. Selecione Seguinte para escolher os dispositivos que pretende incluir na exceção. A exceção será aplicada automaticamente aos dispositivos.

  7. Selecione Seguinte para rever a exceção.

  8. Selecione Submeter para criar a exceção.

  9. Na página final, selecione Ver todas as exceções para regressar à página de exceções.

Na página Exceções , selecione qualquer uma das suas exceções para abrir um painel de lista de opções onde pode ver o estado, editar ou eliminar a exceção:

Captura de ecrã da página de detalhes do lado das exceções

Utilizar investigação avançada

Pode executar consultas de investigação avançadas nas seguintes tabelas para obter visibilidade sobre as linhas de base de segurança na sua organização:

  • DeviceBaselineComplianceProfiles: fornece detalhes sobre os perfis criados.
  • DeviceBaselineComplianceAssessment: informações relacionadas com a conformidade do dispositivo.
  • DeviceBaselineComplianceAssessmentKB: definições gerais para referências CIS e STIG (não relacionadas com nenhum dispositivo).