Compartilhar via


Defender para Nuvem – Novidades no arquivo

Esta página fornece informações sobre recursos, correções e substituições com mais de seis meses. Para obter as atualizações mais recentes, leia Novidades no Defender para Nuvem?.

Abril de 2024

Data Categoria Atualizar
16 de abril Próxima atualização Alteração nas IDs de avaliação do CIEM.

Atualização estimada: maio de 2024.
15 de abril GA O Defender para Contêineres agora está disponível para AWS e GCP.
3 de abril Atualizar A priorização de riscos agora é a experiência padrão no Defender para Nuvem
3 de abril Atualizar Atualizações do Defender para bancos de dados relacionais de código aberto.

Atualização: Alteração nas IDs de avaliação do CIEM

16 de abril de 16 de 2024

Data estimada da alteração: maio de 2024

As seguintes recomendações são agendadas para remodelagem, o que resultará em alterações nas respectivas IDs de avaliação:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

GA: Defender para Contêineres para a AWS e o GCP

15 de abril de 2024

A detecção de ameaças no runtime e a descoberta sem agente para AWS e GCP no Defender para Contêineres agora estão em disponibilidade geral (GA). Além disso, há uma nova funcionalidade de autenticação na AWS que simplifica o provisionamento.

Saiba mais sobre a matriz de suporte a contêineres no Defender para Nuvem e como configurar componentes do Defender para Contêineres.

Atualização: Priorização de riscos

3 de abril de 2024

A priorização de riscos agora é a experiência padrão no Defender para Nuvem. Esse recurso ajuda você a se concentrar nos problemas de segurança mais críticos no seu ambiente ao priorizar recomendações com base nos fatores de risco de cada recurso. O nível de risco é calculado com base no possível impacto do problema de segurança que está sendo violado, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte. Saiba mais sobre priorização de risco.

Atualização: Defender para Bancos de Dados Relacionais de Código Aberto

3 de abril de 2024

  • Atualizações pós-GA dos Servidores Flexíveis do Defender para PostgreSQL - A atualização permite que os clientes imponham proteção para servidores flexíveis do PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou a proteção automática de todos os recursos no nível de assinatura.
  • Disponibilidade e GA do Defender para servidores Flexíveis do MySQL: o Defender para Nuvem expandiu seu suporte para incluir os bancos de dados relacionais de código aberto do Azure ao incorporar os Servidores Flexíveis do MySQL.

Esta versão inclui:

  • Compatibilidade de alertas com alertas existentes para os Servidores Únicos do Defender para MySQL.
  • Habilitação de recursos individuais.
  • Habilitação no nível da assinatura.
  • As atualizações dos servidores flexíveis do Banco de Dados do Azure para MySQL serão lançadas nas próximas semanas. Se estiver vendo a mensagem de erro The server <servername> is not compatible with Advanced Threat Protection, você poderá esperar pela atualização ou abrir um tíquete de suporte para atualizar o servidor mais cedo para uma versão com suporte.

Se você já está protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos de servidor flexível serão automaticamente habilitados, protegidos e cobrados. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.

Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.

Março de 2024

Data Categoria Atualizar
31 de março GA Verificação de imagens do contêiner do Windows
25 de março Atualizar A exportação contínua agora inclui dados de caminhos de ataque
21 de março Visualizar A verificação sem agente dá suporte a VMs criptografadas por CMK no Azure
17 de março Visualizar Recomendações personalizadas baseadas no KQL para Azure.
13 de março Atualizar Inclusão de recomendações do DevOps no parâmetro de comparação de segurança da nuvem da Microsoft
13 de março GA Integração no ServiceNow.
13 de março Visualizar Proteção de ativos críticos no Microsoft Defender para Nuvem.
12 de março Atualizar Recomendações avançadas do AWS e GCP com scripts de correção automatizados
6 de março Visualizar Padrões de conformidade adicionados ao painel de controle de conformidade
6 de março Próxima atualização Defender para atualizações de bancos de dados relacionais de código aberto

Esperada para: abril de 2024
3 de março Próxima atualização Alterações em que você acessa ofertas de Conformidade e Ações da Microsoft

Esperada para: setembro de 2025
3 de março Reprovação Desativação da Avaliação de Vulnerabilidades do Defender para Contêineres de Nuvem da plataforma da Qualys
3 de março Próxima atualização Alterações nas quais você acessa Ofertas de Conformidade e Ações da Microsoft.

Preterição estimada: 30 de setembro de 2025.

GA: Verificação de imagens de contêiner no Windows

31 de março de 2024

Estamos anunciando a disponibilidade geral (GA) do suporte à verificação das imagens de contêiner do Windows pelo Defender para Contêineres.

Atualização: A exportação contínua agora inclui dados de caminhos de ataque

25 de março de 2024

Estamos anunciando que a exportação contínua agora inclui dados de caminhos de ataque. Esse recurso permite que você transmita dados de segurança para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para um outro Gerenciamento de Eventos e Informações de Segurança (SIEM), Orquestração, Automação e Resposta de Segurança (SOAR) ou uma solução clássica de modelo de implantação de TI.

Saiba mais sobre a exportação contínua.

(Versão Prévia): A Verificação sem agente dá suporte a VMs criptografadas por CMK no Azure

21 de março de 2024

Até agora, a verificação sem agente cobria VMs criptografadas do CMK no AWS e no GCP. Com essa versão, também estamos completando o suporte para o Azure. A funcionalidade emprega uma abordagem de verificação exclusiva para CMK no Azure:

  • O Defender para Nuvem não lida com o processo de descriptografia ou chave. As chaves e a descriptografia são manejadas de forma integrada pela Computação do Azure e são transparentes para o serviço de verificação sem agente do Defender para Nuvem.
  • Os dados de disco de VM não criptografados nunca são copiados ou criptografados novamente com outra chave.
  • A chave original não é replicada durante o processo. A limpeza elimina os dados da VM de produção e do instantâneo temporário do Defender para Nuvem.

Durante a pré-visualização pública, essa funcionalidade não é habilitada automaticamente. Se estiver usando o Defender para servidores P2 ou o GPSN do Defender e o ambiente tiver VMs com discos criptografados por CMK, agora você poderá verificá-las para detectar vulnerabilidades, segredos e malware seguindo essas etapas de habilitação.

Versão Prévia: Recomendações personalizadas baseadas no KQL para Azure

17 de março de 2024

As recomendações personalizadas baseadas no KQL para Azure agora estão em visualização pública e são compatíveis com todas as nuvens. Para obter mais informações, veja Criar recomendações e padrões de segurança personalizados.

Atualização: Inclusão de recomendações do DevOps no parâmetro de comparação de segurança de nuvem da Microsoft

13 de março de 2024

Hoje, estamos comunicando que agora você pode monitorar a postura de conformidade e segurança do DevOps no MCSB (parâmetro de comparação de segurança da nuvem da Microsoft), além do Azure, AWS e GCP. As avaliações de DevOps fazem parte do controle de Segurança de DevOps no MCSB.

O MCSB é uma estrutura que define princípios fundamentais de segurança da nuvem com base em padrões comuns da indústria e em estruturas de conformidade. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independente de nuvem.

Saiba mais sobre as recomendações de DevOps que serão incluídas e o parâmetro de comparação de segurança da nuvem da Microsoft.

GA: Agora a Integração no ServiceNow está em disponibilidade geral

12 de março de 2024

Estamos comunicando a GA (disponibilidade geral) da integração do ServiceNow.

Versão Prévia: Proteção de ativos críticos no Microsoft Defender para Nuvem

12 de março de 2024

O Defender para Nuvem agora inclui um recurso comercialmente crítico que usa o mecanismo de ativos críticos do Gerenciamento de Exposição da Segurança da Microsoft para identificar e proteger ativos importantes por meio de priorização de risco, análise de caminhos de ataque e do Cloud Security Explorer. Para obter mais informações, confira Proteção de ativos críticos no Microsoft Defender para Nuvem (Versão Prévia).

Atualização: Recomendações aprimoradas para AWS e GCP com scripts de correção automatizados

12 de março de 2024

Estamos aprimorando as recomendações do AWS e GCP com scripts de correção automatizados que permitem que você os corrija programaticamente e em escala. Saiba mais sobre scripts de correção automatizados.

Versão Prévia: Padrões de conformidade adicionados ao painel de controle de conformidade

6 de março de 2024

Com base nos comentários de clientes, adicionamos ao Defender para Nuvem padrões de conformidade em versão prévia.

Confira a lista completa de padrões de conformidade com suporte

Estamos trabalhando continuamente para adicionar e atualizar novos padrões para ambientes Azure, AWS e GCP.

Saiba como atribuir um padrão de segurança.

Atualização: Atualizações do Defender para bancos de dados relacionais de código aberto

6 de março de 2024**

Data estimada para alteração: abril de 2024

Atualizações pós-GA dos Servidores Flexíveis do Defender para PostgreSQL - A atualização permite que os clientes imponham proteção para servidores flexíveis do PostgreSQL existentes no nível de assinatura, permitindo total flexibilidade para habilitar a proteção por recurso ou a proteção automática de todos os recursos no nível de assinatura.

Disponibilidade e GA dos Servidores Flexíveis do Defender para MySQL - O Defender para Nuvem está pronto para expandir seu suporte para bancos de dados relacionais de código aberto do Azure, incorporando os Servidores Flexíveis do MySQL. Esta versão incluirá:

  • Compatibilidade de alertas com alertas existentes para os Servidores Únicos do Defender para MySQL.
  • Habilitação de recursos individuais.
  • Habilitação no nível da assinatura.

Se você já está protegendo sua assinatura com o Defender para bancos de dados relacionais de código aberto, seus recursos de servidor flexível serão automaticamente habilitados, protegidos e cobrados. Notificações de cobrança específicas foram enviadas por email para as assinaturas afetadas.

Saiba mais sobre o Microsoft Defender para bancos de dados relacionais de código aberto.

Atualização: Alterações nas Ofertas de Conformidade e nas configurações de Ações da Microsoft

3 de março de 2024

Data estimada da alteração: 30 de setembro de 2025

Em 30 de setembro de 2025, os locais em que você acessa duas versões prévias do recurso, oferta de Conformidade e Ações da Microsoft, serão alterados.

A tabela que lista o status de conformidade dos produtos da Microsoft (acessado do botão Ofertas de conformidade na barra de ferramentas do painel de conformidade regulatória do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.

Para um subconjunto de controles, as Ações da Microsoft estavam acessíveis a partir do botão Ações da Microsoft (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança do Serviço da Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema do Azure.

Atualização: Alterações no local onde você acessa as Ofertas de Conformidade e Ações da Microsoft

3 de março de 2024**

Data estimada para a alteração: setembro de 2025

Em 30 de setembro de 2025, os locais em que você acessa duas versões prévias do recurso, oferta de Conformidade e Ações da Microsoft, serão alterados.

A tabela que lista o status de conformidade dos produtos da Microsoft (acessado do botão Ofertas de conformidade na barra de ferramentas do painel de conformidade regulatória do Defender). Depois que esse botão for removido do Defender para Nuvem, você ainda poderá acessar essas informações usando o Portal de Confiança do Serviço.

Para um subconjunto de controles, as Ações da Microsoft estavam acessíveis a partir do botão Ações da Microsoft (Versão Prévia) no painel de detalhes dos controles. Depois que esse botão for removido, você poderá exibir as Ações da Microsoft visitando o Portal de Confiança do Serviço da Microsoft para FedRAMP e acessando o documento do Plano de Segurança do Sistema do Azure.

Preterição: Desativação da Avaliação de Vulnerabilidades de Contêineres do Defender para Nuvem da plataforma Qualys

3 de março de 2024

A Avaliação de Vulnerabilidades do Defender para Contêineres de Nuvem da plataforma Qualys está sendo desativada. A desativação será concluída até 6 de março e, até lá, os resultados parciais ainda poderão aparecer nas recomendações do Qualys e os resultados do Qualys no gráfico de segurança. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para Avaliações de vulnerabilidade para o Azure com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter informações sobre como fazer a transição para a oferta de avaliação de vulnerabilidade do contêiner, fornecida pelo Gerenciamento de Vulnerabilidades do Microsoft Defender, confira Transição do Qualys para o Gerenciamento de Vulnerabilidades do Microsoft Defender.

Fevereiro de 2024

Data Categoria Atualizar
28 de fevereiro Reprovação A Análise de Código de Segurança da Microsoft (MSCA) não está mais operacional.
28 de fevereiro Atualizar Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP.
26 de fevereiro Atualizar Suporte na nuvem para o Defender para contêineres
20 de fevereiro Atualizar Nova versão do sensor do Defender para Defender para contêineres
18 de fevereiro Atualizar Suporte à especificação de formato de imagem da Open Container Initiative (OCI)
13 de fevereiro Reprovação A avaliação de vulnerabilidade de contêineres da AWS alimentada da plataforma Trivy foi desativada.
5 de fevereiro Próxima atualização Desativação do provedor de recursos Microsoft.SecurityDevOps

Esperada para: 6 de março de 2024

Preterição: A Análise de Código de Segurança da Microsoft (MSCA) não está mais operacional

28 de fevereiro de 2024

Em fevereiro de 2021, a substituição da tarefa MSCA foi comunicada a todos os clientes e já passou do fim da vida útil desde março de 2022. A partir de 26 de fevereiro de 2024, a MSCA oficialmente não está mais operacional.

Os clientes podem obter as ferramentas de segurança do DevOps mais recentes a partir do Defender para Nuvem por meio do Microsoft Security DevOps e mais ferramentas de segurança por meio do GitHub Advanced Security para Azure DevOps.

Atualização: Gerenciamento de políticas de segurança atualizado amplia o suporte à AWS e ao GCP

28 de fevereiro de 2024

A experiência atualizada para gerenciar políticas de segurança, inicialmente lançada na versão prévia do Azure, está expandindo seu suporte para ambientes entre nuvens (AWS e GCP). Esta versão prévia inclui:

Atualização: Suporte na nuvem ao Defender para Contêineres

26 de fevereiro de 2024

Os recursos de detecção de ameaças do Serviço de Kubernetes do Azure (AKS) no Defender para contêineres agora têm suporte total em nuvens comerciais, do Azure Government e do Azure China 21Vianet. Revisar recursos suportados.

Atualização: Nova versão do sensor do Defender no Defender para Contêineres

20 de fevereiro de 2024

Uma nova versão do sensor do Defender para o Defender para contêineres está disponível. Ele inclui melhorias de desempenho e segurança, suporte para nós de arco AMD64 e Arm64 (somente Linux) e usa o Inspektor Gadget como agente de coleta de processos em vez do Sysdig. A nova versão é apenas compatível com as versões 5.4 e posteriores do Linux, portanto, se você tiver versões mais antigas do kernel do Linux, precisará fazer a atualização. O suporte para Arm64 só está disponível no AKS V1.29 e superior. Para obter mais informações, confira Sistemas operacionais do host com suporte.

Atualização: Suporte à especificação do formato de imagem da Open Container Initiative (OCI)

18 de fevereiro de 2024

A especificação de formato de imagem da Open Container Initiative (OCI) agora é compatível com a avaliação de vulnerabilidade, alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender para nuvens do AWS, Azure & e GCP.

Preterição: A avaliação de vulnerabilidade de contêineres da AWS da plataforma Trivy foi desativada

13 de fevereiro de 2024

A avaliação de vulnerabilidade de contêiner da plataforma Trivy foi desativada. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para a nova avaliação de vulnerabilidade de contêiner do AWS da plataforma do Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter instruções sobre como atualizar, confira Como fazer upgrade da avaliação de vulnerabilidade do Trivy desativada para a avaliação de vulnerabilidade do AWS da plataforma do Gerenciamento de Vulnerabilidades do Microsoft Defender?

Atualização: Descomissionamento do provedor de recursos Microsoft.SecurityDevOps

5 de fevereiro de 2024

Data estimada da alteração: 6 de março de 2024

O Microsoft Defender para Nuvem está desativando o provedor de recursos Microsoft.SecurityDevOps que foi usado durante a visualização pública da segurança do DevOps, tendo migrado para o provedor existente Microsoft.Security. O motivo da alteração é melhorar as experiências do cliente, reduzindo o número de provedores de recursos associados aos conectores de DevOps.

Os clientes que ainda estão usando a versão 2022-09-01-preview da API no Microsoft.SecurityDevOps para consultar os dados de segurança do Defender para Cloud DevOps serão afetados. Para evitar interrupções no serviço, o cliente precisará atualizar para a nova versão 2023-09-01-preview da API no provedor Microsoft.Security.

Atualmente, os clientes que usam a segurança de DevOps do Defender para Nuvem no portal do Azure não serão afetados.

Janeiro de 2024

Data Categoria Atualizar
31 de janeiro Atualizar Novo insight para repositórios ativos no Cloud Security Explorer
30 de janeiro Próxima atualização Alteração nos preços da detecção de ameaças de contêiner multinuvem

Esperada para: abril de 2024
29 de janeiro Próxima atualização Implementação do GPSN do Defender para Funcionalidades Premium de Segurança do DevOps.

Esperada para: março de 2024
24 de janeiro Visualizar Postura do contêiner sem agente para GCP no Defender para Contêineres e no GPSN do Defender.
16 de janeiro Visualizar Verificação de malware sem agente para servidores.
15 de janeiro GA Integração do Defender para Nuvem om o Microsoft Defender XDR.
14 de janeiro Atualizar Atualização da função integrada de verificação de VM sem agente do Azure

Esperada para: março de 2024
12 de janeiro Atualizar As anotações de Pull Request de segurança do DevOps agora estão habilitadas por padrão para os conectores do Azure DevOps.
9 de janeiro Reprovação Caminho de desativação da avaliação de vulnerabilidade integrada do Defender para Servidores (Qualys).

Esperada para: maio de 2024
3 de janeiro Próxima atualização Próxima alteração para os requisitos de rede multinuvem do Defender para Nuvem.

Esperada para: maio de 2024.

Atualização:Novo insight para repositórios ativos no Cloud Security Explorer

31 de janeiro de 2024

Um novo insight dos repositórios do Azure DevOps foi adicionado ao Cloud Security Explorer para indicar se os repositórios estão ativos. Esse insight indica que o repositório de códigos não está arquivado nem desabilitado, o que significa que o acesso de gravação a códigos, builds e pull requests continua disponível para os usuários. Os repositórios arquivados e desabilitados podem ser considerados de menor prioridade, já que o código não costuma ser usado em implantações ativas.

Para testar a consulta por meio do Cloud Security Explorer, use esse link de consulta.

Atualização: Alteração nos preços da detecção de ameaças de contêiner multinuvem

30 de janeiro de 2024**

Data estimada da alteração: abril de 2024

Quando a detecção de ameaças de contêiner multinuvem passar para GA, ela deixará de ser gratuita. Para obter mais informações, consulte preços do Microsoft Defender para Nuvem.

Atualização: Implementação do GPSN do Defender para o Nível Premium de Segurança do DevOps

29 de janeiro de 2024**

Data estimada para a alteração: 7 de março de 2024

O Defender para Nuvem começará a aplicar a verificação do plano Defender CSPM para obter um valor de segurança de DevOps Premium a partir de 7 de março de 2024. Se você tiver o plano de GPSN do Defender habilitado em um ambiente de nuvem (Azure, AWS, GCP) dentro do mesmo locatário em que os conectores de DevOps são criados, você continuará recebendo recursos Premium de DevOps sem custo adicional. Se você não for um cliente do Defender CSPM, terá até 7 de março de 2024 para habilitar o Defender CSPM antes de perder o acesso a esses recursos de segurança. Para habilitar o Defender CSPM em um ambiente de nuvem conectado antes de 7 de março de 2024, siga a documentação de habilitação descrita aqui.

Para obter mais informações sobre quais recursos de segurança do DevOps estão disponíveis nos planos Foundational CSPM e Defender CSPM, consulte nossa documentação que descreve a disponibilidade dos recursos.

Para obter mais informações sobre o DevOps Security no Defender para Nuvem, consulte a documentação de visão geral.

Para obter mais informações sobre os recursos de segurança de código para nuvem no Defender CSPM, consulte como proteger seus recursos com o Defender CSPM.

Versão Prévia: Postura do contêiner sem agente para GCP no Defender para Contêineres e no GPSN do Defender

24 de janeiro de 2024

Os novos recursos de postura de contêiner sem agente (versão prévia) estão disponíveis para GCP, incluindo Avaliações de vulnerabilidade para GCP com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter mais informações sobre todos os recursos, consulte Postura de contêiner sem agente no Defender CSPM e Recursos sem agente no Defender para contêineres.

Você também pode ler sobre o gerenciamento de postura de contêiner sem agente para várias nuvens nesta postagem no blog.

Versão Prévia: Verificação de malware sem agente para servidores

16 de janeiro de 2024

Estamos anunciando a versão da detecção de malware sem agente do Defender para Nuvem para máquinas virtuais (VM) do Azure, instâncias do AWS EC2 e instâncias de VM do GCP, como um novo recurso incluído no Plano 2 do Defender para servidores.

A detecção de malware sem agente para VMs agora está incluída em nossa plataforma de verificação sem agente. A verificação de malware sem agente utiliza o mecanismo antimalware do Microsoft Defender Antivírus para verificar e detectar arquivos mal-intencionados. Qualquer ameaça detectada dispara alertas de segurança diretamente no Defender para Nuvem e no Defender XDR, onde podem ser investigadas e corrigidas. O verificador de malware sem agente complementa a cobertura baseada em agente com uma segunda camada de detecção de ameaças com integração sem atrito e não tem efeito no desempenho do computador.

Saiba mais sobre a verificação de malware sem agente para servidores e verificação sem agente para VMs.

Disponibilidade geral da integração do Defender para Nuvem ao Microsoft Defender XDR

15 de janeiro de 2024

Estamos anunciando a GA (disponibilidade geral) da integração entre o Defender para Nuvem e o Microsoft Defender XDR (antigo Microsoft 365 Defender).

A integração traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com a integração do Microsoft Defender para Nuvem e do Defender XDR, as equipes do SOC podem descobrir ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Office 365 e muito mais.

Saiba mais sobre alertas e incidentes no Microsoft Defender XDR.

Atualização: Função integrada de verificação de VM sem agente no Azure

14 de janeiro de 2024**

Data estimada da alteração: fevereiro de 2024

No Azure, a verificação sem agente para VMs usa uma função integrada (chamada de operador de verificação de VM) com as permissões mínimas necessárias para verificar e avaliar suas VMs quanto a problemas de segurança. Para fornecer continuamente recomendações relevantes de integridade e configuração de verificações para VMs com volumes criptografados, está planejada uma atualização das permissões dessa função. A atualização inclui o acréscimo da permissão Microsoft.Compute/DiskEncryptionSets/read. Essa permissão apenas permite uma identificação aprimorada do uso de discos criptografados em VMs. Ele não fornece mais recursos do Defender para Nuvem para descriptografar ou acessar o conteúdo desses volumes criptografados além dos métodos de criptografia já compatíveis antes dessa alteração. Essa alteração deve ocorrer durante o mês de fevereiro de 2024 e nenhuma ação de sua parte é necessária.

Atualização: Anotações de Pull Request de segurança do DevOps habilitadas por padrão para os conectores do Azure DevOps

12 de janeiro de 2024

A segurança do DevOps expõe as descobertas de segurança como anotações nos Pull Requests (PR) para ajudar os desenvolvedores a prevenir e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes de entrar na fase de produção. A partir de 12 de janeiro de 2024, as anotações de PR agora estão habilitadas por padrão para todos os repositórios novos e existentes do Azure DevOps conectados ao Defender para Nuvem.

Por padrão, as anotações de PR são habilitadas apenas para descobertas de IaC (Infraestrutura como Código) de Alta Severidade. Os clientes ainda precisarão configurar o Microsoft Security para DevOps (MSDO) para serem executados em builds de PR e habilitar a política de Validação de Build para builds de CI nas configurações do repositório do Azure DevOps. Os clientes podem desabilitar o recurso de Anotação de PR para repositórios específicos de dentro das opções de configuração do repositório da folha de segurança do DevOps.

Saiba mais sobre habilitar anotações de pull request para o Azure DevOps.

Preterição: Caminho de desativação da avaliação de vulnerabilidade integrada do Defender para Servidores (Qualys)

9 de janeiro de 2024**

Data estimada da alteração: maio de 2024

A solução interna de avaliação de vulnerabilidades do Defender para servidores da plataforma Qualys está em vias de desativação, cuja conclusão está prevista para 1º de maio de 2024. Se estiver usando a solução de avaliação de vulnerabilidades da plataforma da Qualys no momento, você deve planejar sua transição para a solução integrada de gerenciamento de vulnerabilidades do Microsoft Defender.

Para obter mais informações sobre nossa decisão de unificar nossa oferta de avaliação de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender, você pode ler essa postagem do blog.

Você também pode conferir as perguntas mais comuns sobre a transição para a solução de Gerenciamento de Vulnerabilidades do Microsoft Defender.

Atualização: requisitos de rede multinuvem do Defender para Nuvem

3 de janeiro de 2024**

Data estimada da alteração: maio de 2024

A partir de maio de 2024, estaremos desativando os endereços IP antigos associados aos nossos serviços de descoberta multinuvem para acomodar melhorias e garantir uma experiência mais segura e eficiente para todos os usuários.

Para garantir o acesso ininterrupto aos nossos serviços, você deve atualizar sua lista de permissões de IP com os novos intervalos fornecidos nas seções a seguir. Você deve fazer os ajustes necessários nas suas configurações de firewall, grupos de segurança ou qualquer outra configuração que possa se aplicar ao seu ambiente.

A lista se aplica a todos os planos e é suficiente para a total funcionalidade da oferta original (gratuita) do GPSN.

Endereços IP a serem desativados:

  • Descoberta da GCP: 104.208.29.200, 52.232.56.127
  • Descoberta da AWS: 52.165.47.219, 20.107.8.204
  • Integração: 13.67.139.3

Novos intervalos de IP específicos por região a serem adicionados:

  • Oeste da Europa: 52.178.17.48/28
  • Norte da Europa: 13.69.233.80/28
  • EUA Central: 20.44.10.240/28
  • Leste dos EUA 2: 20.44.19.128/28

Dezembro de 2023

Data Atualizar
30 de dezembro Consolidação de nomes de nível 2 de serviço do Defender para Nuvem
24 de dezembro Microsoft Defender para servidores no nível de recurso disponível como GA
21 de dezembro Desativação dos conectores clássicos para multinuvem
21 de dezembro Lançamento da pasta de trabalho Cobertura
14 de dezembro Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender no Azure Governamental e no Azure operado pela 21Vianet
14 de dezembro Visualização pública do suporte do Windows para a Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender
13 de dezembro A desativação da avaliação de vulnerabilidade do contêiner da AWS da plataforma Trivy
13 de dezembro Postura do contêiner sem agente para a AWS no Defender para contêineres e no Defender CSPM (versão prévia)
13 de dezembro Suporte à GA (disponibilidade geral) para o Servidor Flexível do PostgreSQL no Defender para o plano de bancos de dados relacionais de código aberto
12 de dezembro A avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte ao Google Distroless

Consolidação de nomes de nível 2 de serviço do Defender para Nuvem

30 de dezembro de 2023

Estamos consolidando os nomes herdados do Nível 2 de serviço para todos os planos do Defender para Nuvem em um único novo nome de Nível 2 de Serviço, Microsoft Defender para Nuvem.

Hoje, há quatro nomes de nível de serviço 2: Azure Defender, Proteção Avançada contra Ameaças, Segurança de Dados Avançada e Central de Segurança. Os vários medidores do Microsoft Defender para Nuvem são agrupados entre esses nomes separados de Nível 2 de serviço, criando complexidades ao usar o Gerenciamento de Custos + Cobrança, faturamento e outras ferramentas relacionadas à cobrança do Azure.

A alteração simplifica o processo de revisão do Defender para cobranças na nuvem e proporciona maior clareza na análise de custos.

Para garantir uma transição tranquila, tomamos medidas para manter a consistência das IDs de Produto/Serviço, SKU e Medidor. Os clientes afetados receberão uma Notificação de Serviço do Azure informativa para comunicar as alterações.

As organizações que recuperam dados de custo chamando nossas APIs precisarão atualizar os valores nas respectivas chamadas para acomodar a alteração. Por exemplo, nesta função de filtro, os valores não retornarão nenhuma informação:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
Nome do Antigo Nível de Serviço 2 Novo nome do Nível de Serviço 2 Camada de Serviço – Nível de Serviço 4 (Sem alteração)
Segurança de Dados Avançada Microsoft Defender para Nuvem Defender para SQL
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Azure Defender para Registros de Contêiner
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para DNS
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para Key Vault
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para Kubernetes
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para MySQL
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para PostgreSQL
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para Resource Manager
Proteção Avançada contra Ameaças Microsoft Defender para Nuvem Defender para Armazenamento
Azure Defender Microsoft Defender para Nuvem Defender para gerenciamento de superfície de ataque externo
Azure Defender Microsoft Defender para Nuvem Defender para Azure Cosmos DB
Azure Defender Microsoft Defender para Nuvem Defender para Contêineres
Azure Defender Microsoft Defender para Nuvem Defender para MariaDB
Central de Segurança Microsoft Defender para Nuvem Defender para Serviço de Aplicativo
Central de Segurança Microsoft Defender para Nuvem Defender para Servidores
Central de Segurança Microsoft Defender para Nuvem GPSN do Defender

Microsoft Defender para servidores no nível de recurso disponível como GA

24 de dezembro de 2023

Agora é possível gerenciar o Defender para servidores em recursos específicos em sua assinatura, oferecendo controle total sobre sua estratégia de proteção. Com essa funcionalidade, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações estabelecidas no nível da assinatura.

Saiba mais sobre habilitar o Microsoft Defender para servidores no nível do recurso.

Desativação dos conectores clássicos para multinuvem

21 de dezembro de 2023

A experiência do conector clássico multinuvem foi desativada e os dados não são mais transmitidos para conectores criados por meio desse mecanismo. Esses conectores clássicos eram usados para conectar as recomendações do AWS Security Hub e do GCP Security Command Center ao Defender para Nuvem e integrar os EC2s da AWS ao Defender para servidores.

O valor completo desses conectores foi substituído pela experiência nativa de conectores de segurança multinuvem, em disponibilidade geral para a AWS e o GCP desde março de 2022 sem custo extra.

Os novos conectores nativos estão incluídos no seu plano e oferecem uma experiência de integração automatizada com opções para integrar contas individuais, contas múltiplas (com o Terraform) e de integração organizacional com o provisionamento automático para os seguintes planos do Defender: funcionalidades básicas gratuitas de GPSN, GPSN (gerenciamento da postura de segurança na nuvem) do Defender, Defender para servidores, Defender para SQL e Defender para contêineres.

Lançamento da pasta de trabalho Cobertura

21 de dezembro de 2023

A pasta de trabalho Cobertura permite que você acompanhe quais planos do Defender para Nuvem estão ativos em quais partes dos seus ambientes. Esta pasta de trabalho pode ajudar você a garantir que seus ambientes e assinaturas estejam totalmente protegidos. Ao ter acesso a informações detalhadas de cobertura, você também pode identificar qualquer área que possa precisar de outra proteção e agir para lidar com essas áreas.

Saiba mais sobre a pasta de trabalho Cobertura.

Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender no Azure Governamental e no Azure operado pela 21Vianet

14 de dezembro de 2023

A avaliação de vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender foi lançada para Disponibilidade Geral (GA) no Azure Governamental e no Azure operado pela 21Vianet. Esta nova versão está disponível nos planos Defender para contêineres e Defender para Registros de Contêineres.

  • Como parte dessa mudança, novas recomendações foram lançadas para GA e incluídas no cálculo da pontuação segura. Revise recomendações de segurança novas e atualizadas
  • A verificação de imagem de contêiner da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora também incorre em encargos de acordo com o preço do plano. Observe que as imagens verificadas por nossa oferta de VA de contêiner da plataforma Qualys e da oferta de VA de contêiner da plataforma Microsoft Defender Vulnerability Management serão cobradas apenas uma vez.

As recomendações do Qualys para a Avaliação de Vulnerabilidade de Contêineres foram renomeadas e continuam disponíveis para clientes que habilitaram o Defender para Contêineres em qualquer uma de suas assinaturas antes desta versão. Os novos clientes que integrarem o Defender para Contêineres após este lançamento verão apenas as novas recomendações de Avaliação de Vulnerabilidade de Contêiner da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender.

Visualização pública do suporte do Windows para a Avaliação de Vulnerabilidade de Contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender

14 de dezembro de 2023

O suporte para imagens do Windows foi lançado em visualização pública como parte da VA (Avaliação de Vulnerabilidades) da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender para registros de contêiner do Azure e do Serviço de Kubernetes do Azure.

A desativação da avaliação de vulnerabilidade do contêiner da AWS da plataforma Trivy

13 de dezembro de 2023

A avaliação de vulnerabilidade de contêiner da plataforma Trivy está agora em um caminho de desativação a ser concluído até 13 de fevereiro. Essa funcionalidade agora está preterida e continuará disponível para clientes existentes usando essa funcionalidade até 13 de fevereiro. Incentivamos os clientes que usam esse recurso a atualizar para a nova avaliação de vulnerabilidade de contêiner da AWS, da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender até 13 de fevereiro.

Postura do contêiner sem agente para a AWS no Defender para contêineres e no Defender CSPM (versão prévia)

13 de dezembro de 2023

Os novos recursos da Postura de contêiner sem agente (versão prévia) estão disponíveis para a AWS. Para obter mais informações, consulte Postura de contêiner sem agente no do Defender CSPM e Recursos sem agente no Defender para contêineres.

Suporte à GA (disponibilidade geral) para o Servidor Flexível do PostgreSQL no Defender para o plano de bancos de dados relacionais de código aberto

13 de dezembro de 2023

Estamos anunciando o suporte à versão de GA (disponibilidade geral) do Servidor Flexível do PostgreSQL no plano Microsoft Defender para bancos de dados relacionais de código aberto. O Microsoft Defender para bancos de dados relacionais de código aberto fornece proteção avançada contra ameaças aos Servidores Flexíveis do PostgreSQL, detectando atividades anômalas e gerando alertas de segurança.

Saiba como Habilitar o Microsoft Defender para bancos de dados relacionais de código aberto.

A avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte ao Google Distroless

12 de dezembro de 2023

As avaliações de vulnerabilidade de contêiner com tecnologia Microsoft Defender Vulnerability Management foram estendidas com cobertura adicional para pacotes de sistema operacional Linux, agora com suporte ao Google Ditroless.

Para acessar a lista de todos os sistemas operacionais com suporte, consulte Suporte a imagens e registros do Azure: Avaliação de Vulnerabilidades da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender.

novembrod e 2023

Data Atualizar
30 de novembro Quatro alertas foram preteridos
27 de novembro Disponibilidade geral de verificação de segredos sem agente no Defender para servidores e no Defender CSPM
22 de novembro Habilitar o gerenciamento de permissões com o Defender para Nuvem (Versão Prévia)
22 de novembro Integração do Defender para Nuvem com o ServiceNow
20 de novembro Disponibilidade geral do processo de provisionamento automático para SQL Servers em computadores
15 de novembro Disponibilidade geral do Defender para APIs
15 de novembro O Defender para Nuvem agora está integrado ao Microsoft 365 Defender (versão prévia)
15 de novembro Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma MDVM (Gerenciamento de Vulnerabilidades do Microsoft Defender) no Defender para contêineres e no Defender para registros de contêiner
15 de novembro Altere os nomes de recomendação das Avaliações de vulnerabilidade de contêiner
15 de novembro A priorização de riscos já está disponível para recomendações
15 de novembro Análise de caminho de ataque, novo mecanismo e aprimoramentos extensivos
15 de novembro Alterações no esquema de tabela do Azure Resource Graph do Caminho de Ataque
15 de novembro Versão de disponibilidade geral do suporte ao GCP no Defender CSPM
15 de novembro Versão de disponibilidade geral do painel de segurança de dados
15 de novembro Disponibilidade geral da descoberta de dados confidenciais para bancos de dados
6 de novembro Nova versão da recomendação para localizar as atualizações do sistema ausentes agora é GA

Quatro alertas foram preteridos

30 de novembro de 2023

Como parte do nosso processo de melhoria de qualidade, os seguintes alertas de segurança são preteridos:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

Disponibilidade geral de verificação de segredos sem agente no Defender para servidores e no Defender CSPM

27 de novembro de 2023

A verificação de segredos sem agente aprimora a VM (Máquinas Virtuais) baseadas em nuvem de segurança identificando segredos de texto não criptografado em discos de VM. A verificação de segredos sem agente fornece informações abrangentes para ajudar a priorizar as descobertas detectadas e reduzir os riscos de movimentação lateral antes que elas ocorram. Essa abordagem proativa impede o acesso não autorizado, garantindo que seu ambiente de nuvem permaneça seguro.

Estamos anunciando a GA (Disponibilidade Geral) da verificação de segredos sem agente, que está incluída nos planos Defender para servidores P2 e Defender CSPM.

A verificação de segredos sem agente utiliza APIs de nuvem para capturar instantâneos de seus discos, realizando análises fora de banda que garantem que não haja nenhum efeito no desempenho da VM. A verificação de segredos sem agente amplia a cobertura oferecida pelo Defender para Nuvem em relação aos ativos de nuvem em ambientes do Azure, AWS e GCP para aprimorar sua segurança na nuvem.

Com esta versão, os recursos de detecção do Defender para Nuvem agora dão suporte a outros tipos de banco de dados, URLs assinados do armazenamento de dados, tokens de acesso e muito mais.

Saiba como Gerenciar segredos com verificação de segredos sem agente.

Habilitar o gerenciamento de permissões com o Defender para Nuvem (Versão Prévia)

22 de novembro de 2023

A Microsoft agora oferece tanto soluções de Plataformas de Proteção de Aplicativos Nativas da Nuvem (CNAPP) quanto Gerenciamento de Direitos de Infraestrutura na Nuvem (CIEM) com o Microsoft Defender para Nuvem (CNAPP) e o Gerenciamento de permissões do Microsoft Entra (CIEM).

Os administradores de segurança podem ter uma visualização centralizada de suas permissões de acesso não utilizadas ou excessivas dentro do Defender para Nuvem.

As equipes de segurança podem promover os controles de acesso com privilégio mínimo para recursos de nuvem e receber recomendações acionáveis para resolver riscos de permissões nos ambientes de nuvem do Azure, da AWS e do GCP como parte de seu Gerenciamento de Postura de Segurança na Nuvem do Defender (CSPM), sem nenhum requisito extra de licenciamento.

Saiba como Habilitar o gerenciamento de permissões no Microsoft Defender para Nuvem (Versão Prévia).

Integração do Defender para Nuvem com o ServiceNow

22 de novembro de 2023

O ServiceNow agora está integrado ao Microsoft Defender para Nuvem, o que permite que os clientes conectem o ServiceNow ao seu ambiente do Defender para Nuvem para priorizar a correção das recomendações que afetem sua empresa. O Microsoft Defender para Nuvem se integra ao módulo ITSM (gerenciamento de incidentes). Como parte dessa conexão, os clientes serão capazes de criar/visualizar tíquetes do ServiceNow (vinculados às recomendações) a partir do Microsoft Defender para Nuvem.

Para saber mais, clique Integração do Defender para Nuvem com o ServiceNow.

Disponibilidade Geral do processo de provisionamento automático para SQL Servers no plano de computadores

20 de novembro de 2023

Em preparação para a substituição do Microsoft Monitoring Agent (MMA) em agosto de 2024, o Defender para Nuvem lançou um processo de provisionamento automático do Azure Monitoring Agent (AMA) direcionado ao SQL Server. O novo processo é habilitado e configurado automaticamente para todos os novos clientes e também fornece a capacidade de habilitação em nível de recurso para VMs SQL do Azure e SQL Servers habilitados para Arc.

Os clientes que usam o processo de provisionamento automático do MMA são solicitados a migrar para o novo processo de provisionamento automático do Azure Monitoring Agent para SQL Server em computadores. O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.

Disponibilidade geral do Defender para APIs

15 de novembro de 2023

Estamos anunciando a GA (Disponibilidade Geral) do Microsoft Defender para APIs. O Defender para APIs foi projetado para proteger as organizações contra ameaças à segurança de API.

O Defender para APIs permite que as organizações protejam suas APIs e dados de atores mal-intencionados. As organizações podem investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar e responder rapidamente ameaças ativas em tempo real. As organizações também podem integrar alertas de segurança diretamente em sua plataforma SIEM (Gerenciamento de Eventos e Informações de Segurança), por exemplo, o Microsoft Sentinel, para investigar e fazer a triagem de problemas.

Você pode aprender como Proteger suas APIs com o Defender para APIs. Você também pode saber mais Sobre o Microsoft Defender para APIs.

Você também pode ler este blog para saber mais sobre o anúncio de GA.

O Defender para Nuvem agora está integrado ao Microsoft 365 Defender (versão prévia)

15 de novembro de 2023

As empresas podem proteger seus recursos e dispositivos de nuvem com a nova integração entre o Microsoft Defender para Nuvem e o Microsoft Defender XDR. Essa integração conecta os pontos entre recursos, dispositivos e identidades de nuvem, que antes exigiam várias experiências.

A integração também traz recursos competitivos de proteção de nuvem para o Centro de Operações de Segurança (SOC) no dia a dia. Com o Microsoft Defender XDR, as equipes do SOC podem descobrir facilmente ataques que combinam detecções de vários pilares, incluindo Nuvem, Ponto de Extremidade, Identidade, Office 365 e muito mais.

Alguns dos principais benefícios incluem:

  • Uma interface fácil de usar para equipes SOC: com os alertas e correlações de nuvem do Defender para Nuvem integrados ao M365D, as equipes SOC agora podem acessar todas as informações de segurança de uma única interface, melhorando significativamente a eficiência operacional.

  • Uma história de ataque: os clientes são capazes de entender a história completa do ataque, incluindo seu ambiente de nuvem, usando correlações pré-criadas que combinam alertas de segurança de várias fontes.

  • Novas entidades de nuvem no Microsoft Defender XDR: o Microsoft Defender XDR agora oferece suporte a novas entidades de nuvem exclusivas do Microsoft Defender para Nuvem, como recursos de nuvem. Os clientes podem corresponder entidades de máquina virtual (VM) a entidades de dispositivo, fornecendo uma exibição unificada de todas as informações relevantes sobre uma máquina, incluindo alertas e incidentes que foram disparados nela.

  • API Unificada para produtos de segurança da Microsoft: os clientes agora podem exportar seus dados de alertas de segurança para seus sistemas de escolha usando uma única API, pois os alertas e incidentes do Microsoft Defender para Nuvem agora fazem parte da API pública do Microsoft Defender XDR.

A integração entre o Defender para Nuvem e o Microsoft Defender XDR está disponível para todos os clientes novos e existentes do Defender para Nuvem.

Disponibilidade geral da Avaliação de Vulnerabilidade de Contêineres da plataforma MDVM (Gerenciamento de Vulnerabilidades do Microsoft Defender) no Defender para contêineres e no Defender para registros de contêiner

15 de novembro de 2023

A avaliação de vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia MDVM (Gerenciamento de Vulnerabilidades do Microsoft Defender) é liberada para Disponibilidade Geral (GA) no Defender for Containers e no Defender for Container Registries.

Como parte dessa mudança, as seguintes recomendações foram lançadas para GA e renomeadas, e agora estão incluídas no cálculo da pontuação segura:

Nome atual da recomendação Novo nome da recomendação Descrição Chave de avaliação
As descobertas de vulnerabilidade das imagens do registro de contêiner devem ser resolvidas (por meio da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de CVEs (vulnerabilidades conhecidas) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
As imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

A varredura de imagem de contêiner alimentada por MDVM agora também incorre em cobranças de acordo com preço do plano.

Observação

As imagens examinadas por nossa oferta de VA de contêiner da plataforma Qualys e pela oferta de VA de contêiner da plataforma MDVM serão cobradas apenas uma vez.

As recomendações abaixo da Qualys para Avaliação de vulnerabilidade de contêineres foram renomeadas e continuarão disponíveis para clientes que habilitaram o Defender para contêineres em qualquer uma de suas assinaturas antes de 15 de novembro. Os novos clientes que integrarem o Defender para contêineres após 15 de novembro verão apenas as novas recomendações de avaliação de vulnerabilidade de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.

Nome atual da recomendação Novo nome da recomendação Descrição Chave de avaliação
As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. dbd0cb49-b563-45e7-9724-889e799fa648
As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) As imagens de contêiner em execução do Azure devem ter vulnerabilidades resolvidas ( da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. 41503391-efa5-47ee-9282-4eff6131462c

Alterar para nomes de recomendação de avaliações de vulnerabilidade de contêiner

As seguintes recomendações de Avaliações de vulnerabilidade de contêiner foram renomeadas:

Nome atual da recomendação Novo nome da recomendação Descrição Chave de avaliação
As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. dbd0cb49-b563-45e7-9724-889e799fa648
As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) As imagens de contêiner em execução do Azure devem ter vulnerabilidades resolvidas ( da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. 41503391-efa5-47ee-9282-4eff6131462c
As imagens do Registro do contêiner elástico devem ter as descobertas de vulnerabilidade resolvidas As imagens do contêiner de registro da AWS devem ter vulnerabilidades resolvidas - (alimentadas por Trivy) A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. 03587042-5d4b-44ff-af42-ae99e3c71c87

A priorização de riscos já está disponível para recomendações

15 de novembro de 2023

Agora você pode priorizar suas recomendações de segurança de acordo com o nível de risco que elas representam, levando em consideração a capacidade de exploração e o potencial efeito comercial de cada problema de segurança subjacente.

Ao organizar suas recomendações com base em seu nível de risco (Crítico, alto, médio, baixo), você é capaz de abordar os riscos mais críticos em seu ambiente e priorizar com eficiência a correção de problemas de segurança com base no risco real, como exposição à Internet, sensibilidade de dados, possibilidades de movimentação lateral e possíveis caminhos de ataque que poderiam ser mitigados com a resolução das recomendações.

Saiba mais sobre priorização de risco.

Análise de caminho de ataque: novo mecanismo e aprimoramentos abrangentes

15 de novembro de 2023

Estamos lançando aprimoramentos para os recursos de análise de caminho de ataque no Defender para Nuvem.

  • Novo mecanismo - a análise de caminho de ataque tem um novo mecanismo, que usa algoritmo de busca de caminho para detectar todos os possíveis caminhos de ataque existentes em seu ambiente de nuvem (com base nos dados que temos em nosso gráfico). Podemos encontrar muito mais caminhos de ataque em seu ambiente e detectar padrões de ataque mais complexos e sofisticados que os invasores podem usar para violar sua organização.

  • Melhorias - As seguintes melhorias são lançadas:

    • Priorização de risco: lista priorizada de caminhos de ataque com base no risco (exploração e afetação do negócio).
    • Remediação aprimorada - identificar as recomendações específicas que devem ser resolvidas para realmente quebrar a cadeia.
    • Caminhos de ataque entre nuvens – detecção de caminhos de ataque que são nuvens cruzadas (caminhos que começam em uma nuvem e terminam em outra).
    • MITRE – Mapeando todos os caminhos de ataque para a estrutura MITRE.
    • Experiência do usuário atualizada – experiência atualizada com recursos mais fortes: filtros avançados, pesquisa e agrupamento de caminhos de ataque para permitir uma triagem mais fácil.

Saiba como identificar e corrigir caminhos de ataque.

Alterações no esquema de tabela do Azure Resource Graph do Caminho de Ataque

15 de novembro de 2023

O esquema de tabela do Azure Resource Graph do caminho de ataque é atualizado. A propriedade attackPathType é removida e outras propriedades são adicionadas.

Versão de disponibilidade geral do suporte ao GCP no Defender CSPM

15 de novembro de 2023

Estamos anunciando a versão GA (Disponibilidade Geral) do gráfico de segurança contextual na nuvem do Defender CSPM e análise de caminho de ataque com suporte para recursos GCP. Você pode aplicar o poder do GPSN do Defender para obter visibilidade abrangente e segurança da nuvem inteligente em todos os recursos do GCP.

Os principais recursos do nosso suporte à GCP incluem:

  • Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
  • Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
  • Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
  • Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.

Saiba mais sobre as opções de plano do GPSN do Defender.

Observação

O faturamento da versão GA do suporte GCP no Defender CSPM começará em 1º de fevereiro de 2024.

Versão de disponibilidade geral do painel de segurança de dados

15 de novembro de 2023

O painel de segurança de dados agora está disponível em Disponibilidade Geral (GA) como parte do plano Defender CSPM.

O painel de segurança de dados permite que você visualize o estado de dados da sua organização, os riscos para dados confidenciais e insights sobre seus recursos de dados.

Saiba mais sobre o painel de segurança de dados.

Disponibilidade geral da descoberta de dados confidenciais para bancos de dados

15 de novembro de 2023

A descoberta de dados confidenciais para bancos de dados gerenciados, incluindo bancos de dados SQL do Azure e instâncias do AWS RDS (todos os tipos de RDBMS) agora está disponível para o público geral e permite a descoberta automática de bancos de dados críticos que contêm dados confidenciais.

Para habilitar esse recurso em todos os armazenamentos de dados com suporte em seus ambientes, você precisa habilitar Sensitive data discovery no Defender CSPM. Saiba como habilitar a descoberta de dados confidenciais no Defender CSPM.

Você também pode aprender como a descoberta dados confidenciais é usada na postura de segurança com reconhecimento de dados.

Anúncio de visualização pública: Nova visibilidade expandida da segurança de dados multicloud no Microsoft Defender para Nuvem.

Nova versão da recomendação para localizar as atualizações do sistema ausentes agora é GA

6 de novembro de 2023

Um agente extra não é mais necessário em suas VMs do Azure e computadores do Azure Arc para garantir que os computadores tenham todas as atualizações críticas ou de segurança mais recentes do sistema.

A nova recomendação de atualizações do sistema, System updates should be installed on your machines (powered by Azure Update Manager) no controle Apply system updates, baseia-se no Centro de gerenciamento de atualizações e é totalmente GA. A recomendação depende de um agente nativo inserido em todos os computadores de VM do Azure e do Azure Arc, em vez de um agente instalado. A correção rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.

As versões antiga e nova das recomendações para encontrar atualizações de sistema ausentes estarão disponíveis até agosto de 2024, que é quando a versão mais antiga é preterida. Ambas as recomendações: System updates should be installed on your machines (powered by Azure Update Manager)e System updates should be installed on your machines estão disponíveis sob o mesmo controle: Apply system updates e tem os mesmos resultados. Portanto, não há duplicação no efeito na pontuação de segurança.

Recomendamos migrar para a nova recomendação e remover a antiga, desabilitando-a da iniciativa interna do Defender para Nuvem na política do Azure.

A recomendação [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) também é GA e é um pré-requisito, que terá um efeito negativo em sua Pontuação Segura. Você pode corrigir o efeito negativo com a Correção disponível.

Para aplicar a nova recomendação, você precisa:

  1. Conecte seus computadores fora do Azure ao Arc.
  2. Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação, [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) para corrigir a recomendação.

Observação

A habilitação de avaliações periódicas para computadores habilitados para Arc em que o Plano 2 do Defender para Servidores não está habilitado em sua assinatura ou conector relacionados está sujeita aos preços do Gerenciador de Atualizações do Azure. Computadores habilitados para Arc em que o Plano 2 do Defender para Servidores está habilitado em sua assinatura ou conectores relacionados, ou qualquer VM do Azure, são elegíveis para essa funcionalidade sem nenhum custo adicional.

Outubro de 2023

Data Atualizar
30 de outubro Alterando a gravidade do alerta de segurança do controle adaptativo de aplicativos
25 de outubro Revisões offline do Gerenciamento de API do Azure removidas do Defender para APIs
19 de outubro Recomendações de gerenciamento de postura de segurança do DevOps disponíveis na versão prévia pública
18 de outubro Liberar o CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulatória

Alterar a severidade do alerta de segurança do controle de aplicativo adaptável

Data do comunicado: 30 de outubro de 2023

Como parte do processo de melhoria da qualidade do alerta de segurança do Defender para Servidores e como parte do recurso de controles de aplicativo adaptáveis, a gravidade do seguinte alerta de segurança está mudando para "Informativo":

Alerta [Tipo de alerta] Descrição do alerta
A violação da política de controle de aplicativo adaptável foi auditada. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] Os usuários abaixo executaram aplicativos que violam a política de controle de aplicativo da sua organização neste computador. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.

Para continuar exibindo esse alerta na página "Alertas de segurança" no portal do Microsoft Defender para Nuvem, altere a gravidade do filtro de exibição padrão para incluir alertas informativos na grade.

Captura de tela que mostra onde adicionar a gravidade informativa para alertas.

Revisões offline do Gerenciamento de API do Azure removidas do Defender para APIs

25 de outubro de 2023

O Defender para APIs atualizou seu suporte para revisões de API de Gerenciamento de API do Azure. As revisões offline não aparecem mais no inventário integrado do Defender para APIs e não parecem mais estar integradas ao Defender para APIs. As revisões offline não permitem que nenhum tráfego seja enviado a elas e não representam risco de uma perspectiva de segurança.

Recomendações de gerenciamento de postura de segurança do DevOps disponíveis na versão prévia pública

19 de outubro de 2023

As novas recomendações de gerenciamento de postura do DevOps agora estão disponíveis em versão prévia pública, para todos os clientes com um conector para o Azure DevOps ou o GitHub. O gerenciamento de postura do DevOps ajuda a reduzir a superfície de ataque de ambientes de DevOps, descobrindo pontos fracos nas configurações de segurança e controles de acesso. Saiba mais sobre o gerenciamento de postura do DevOps.

Liberar o CIS Azure Foundations Benchmark v2.0.0 no painel de conformidade regulatória

18 de outubro de 2023

O Microsoft Defender para Nuvem agora dá suporte ao mais recente CIS Azure Security Foundations Benchmark – versão 2.0.0 no painel de Conformidade Regulatória e a uma iniciativa de política interna no Azure Policy. O lançamento da versão 2.0.0 no Microsoft Defender para Nuvem é um esforço colaborativo conjunto entre a Microsoft, o CIS (Center for Internet Security) e as comunidades de usuários. A versão 2.0.0 expande significativamente o escopo de avaliação, que agora inclui mais de 90 políticas internas do Azure e êxito nas versões anteriores 1.4.0 e 1.3.0 e 1.0 no Microsoft Defender para Nuvem e no Azure Policy. Para obter mais informações, confira esta postagem no blog.

Setembro de 2023

Data Atualizar
30 de setembro Alterar para o limite diário do Log Analytics
27 de setembro O painel de segurança de dados está disponível em visualização pública
21 de setembro Versão prévia: novo processo de provisionamento automático para SQL Server em computadores
20 de setembro GitHub Advanced Security para alertas do Azure DevOps no Defender para Nuvem
11 de setembro Funcionalidade isenta agora disponível para recomendações do Defender para APIs
11 de setembro Criar alertas de exemplo para detecções do Defender para APIs
6 de setembro Versão prévia: a avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte à verificação no pull
6 de setembro Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
5 de setembro Descoberta de dados confidenciais para bancos de dados PaaS (prévia)
1º de setembro GA (disponibilidade geral): verificação de malware no Defender para Armazenamento

Alterar para o limite diário do Log Analytics

O Azure Monitor oferece a capacidade de definir um limite diário nos dados ingeridos em seus workspaces do Log Analytics. No entanto, atualmente, não há suporte a eventos de segurança do Defender para Nuvem nessas exclusões.

O Limite Diário do Log Analytics não exclui mais o seguinte conjunto de tipos de dados:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • Atualizar
  • UpdateSummary
  • CommonSecurityLog
  • syslog

Todos os tipos de dados faturáveis serão limitados se o limite diário for atingido. Essa mudança melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.

Saiba mais sobre workspaces com o Microsoft Defender para Nuvem.

Painel de Segurança de Dados disponível em visualização pública

27 de setembro de 2023

O Painel de Segurança de dados está agora em visualização pública como parte do plano GPSN do Defender. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina os riscos significativos para dados confidenciais, priorizando alertas e caminhos potenciais de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.

Versão prévia: novo processo de provisionamento automático para o SQL Server no plano de computadores

21 de setembro de 2023

O Microsoft Monitoring Agent (MMA) está sendo descontinuado em agosto de 2024. O Defender para Nuvem atualizou sua estratégia substituindo o MMA pelo lançamento de um processo de provisionamento automático do Agente de Monitoramento do Azure direcionado ao SQL Server.

Durante a versão prévia, os clientes que estiverem usando o processo de provisionamento automático do MMA com a opção agente do Azure Monitor (Versão prévia) são solicitados a migrar para o novo processo de provisionamento automático do Agente de Monitoramento do Azure para SQL Server em máquinas (versão prévia). O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.

Para obter mais informações, confira Migrar para o processo de provisionamento automático do Agente de Monitoramento do Azure direcionado ao SQL Server.

GitHub Advanced Security para alertas do Azure DevOps no Defender para Nuvem

20 de setembro de 2023

Agora você pode exibir alertas do GHAzDO (GitHub Advanced Security para Azure DevOps) relacionados ao CodeQL, segredos e dependências no Defender para Nuvem. Os resultados são exibidos na página DevOps e em Recomendações. Para ver esses resultados, integre seus repositórios habilitados para o GHAzDO ao Defender para Nuvem.

Saiba mais sobre GitHub Advanced Security para Azure DevOps.

Funcionalidade isenta agora disponível para recomendações do Defender para APIs

11 de setembro de 2023

Agora você pode isentar recomendações para as seguintes recomendações de segurança do Defender para APIs.

Recomendação Descrição e política relacionada Severidade
(Versão prévia) Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. Baixo
(Versão prévia) Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a execução da autenticação por meio das Chaves de Assinatura, JWT e Certificado do Cliente configurados no Gerenciamento de API do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação. Alto

Saiba mais sobre como isentar recomendações no Defender para Nuvem.

Criar alertas de exemplo para detecções do Defender para APIs

11 de setembro de 2023

Agora você pode gerar alertas de exemplo para as detecções de segurança lançadas como parte da versão prévia pública do Defender para APIs. Saiba mais sobre gerar alertas de exemplo no Defender para Nuvem.

Versão prévia: a avaliação de vulnerabilidade de contêineres da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender agora dá suporte à verificação no pull

6 de setembro de 2023

A avaliação de vulnerabilidade de contêineres da plataforma Microsoft Defender Vulnerability Management agora dá suporte a um gatilho adicional para verificar imagens extraídas de um ACR. Esse gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes que verificam imagens enviadas por push para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.

Esse novo gatilho começará a ser distribuído hoje e deverá estar disponível para todos os clientes até o final de setembro.

Saiba mais.

Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória

6 de setembro de 2023

O formato de nomenclatura dos benchmarks de base do CIS (Center for Internet Security) no painel de conformidade foi alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Consulte a tabela a seguir:

Nome atual Novo nome
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Saiba como melhorar sua conformidade regulatória.

Descoberta de dados confidenciais para bancos de dados PaaS (prévia)

5 de setembro de 2023

Os recursos de postura de segurança com reconhecimento de dados para descoberta de dados confidenciais sem atrito para bancos de dados de PaaS (Bancos de Dados SQL do Azure e Instâncias do Amazon RDS de qualquer tipo) agora estão em visualização pública. Essa visualização pública permite que você crie um mapa dos seus dados críticos, onde quer que eles residam, e o tipo de dados que é encontrado nesses bancos de dados.

A descoberta de dados confidenciais para bancos de dados do Azure e da AWS adiciona à taxonomia e à configuração compartilhadas que já estão disponíveis publicamente para recursos de armazenamento de objetos na nuvem (Armazenamento de Blobs do Azure, buckets do AWS S3 e buckets de armazenamento do GCP) e fornece uma experiência única de configuração e habilitação.

Os bancos de dados são verificados semanalmente. Se você habilitar sensitive data discovery, a descoberta será executada em 24 horas. Os resultados podem ser exibidos no Cloud Security Explorer ou analisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.

A postura de segurança com reconhecimento de dados para bancos de dados está disponível no plano CSPM do Defender e é habilitada automaticamente nas assinaturas em que a opção sensitive data discovery está ativada.

Você pode saber mais sobre a postura de segurança consciente dos dados nos artigos a seguir:

GA (disponibilidade geral): verificação de malware no Defender para Armazenamento

1º de setembro de 2023

A verificação de malware já está em GA (disponibilidade geral) como um complemento do Defender para Armazenamento. A verificação de malware do Defender para Armazenamento ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, por meio das funcionalidades do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. A funcionalidade de verificação de malware é uma solução de SaaS sem agente que permite a configuração em escala e dá suporte à automação de respostas também em escala.

Saiba mais sobre a verificação de malware do Defender para Armazenamento.

A verificação de malware é precificada de acordo com seu orçamento e seu uso de dados. A cobrança será iniciada em 3 de setembro de 2023. Acesse a página de preços para obter mais informações.

Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.

Leia a postagem no blog do comunicado sobre o Microsoft Defender para Nuvem.

Agosto de 2023

As atualizações de agosto incluem:

Data Atualizar
30 de agosto Defender para contêineres: descoberta sem agente para Kubernetes
22 de agosto Recomendação de lançamento: o Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais
17 de agosto As propriedades estendidas nos alertas de segurança do Defender para Nuvem são mascaradas nos logs de atividades
15 de agosto Versão prévia do suporte à GCP no GPSN do Defender
7 de agosto Novos alertas de segurança no Plano 2 do Defender para servidores: detectando possíveis ataques que utilizam indevidamente extensões de máquina virtual do Azure
1 de agosto Modelo de negócios e atualizações de preços para planos do Defender para Nuvem

Defender para contêineres: descoberta sem agente para Kubernetes

30 de agosto de 2023

Estamos felizes em apresentar ao Defender para contêineres: descoberta sem agente para Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos abrangentes de inventário para ambientes Kubernetes. A nova oferta de contêiner é alimentada pelo grafo de segurança contextual do Defender para Nuvem. Veja o que é possível esperar desta atualização mais recente:

  • Descoberta sem agente para o Kubernetes
  • Funcionalidades abrangentes de inventário
  • Insights de segurança específicos do Kubernetes
  • Busca de risco aprimorada com o Cloud Security Explorer

A descoberta sem agente para Kubernetes agora está disponível para todos os clientes do Defender para contêineres. Comece a usar essas funcionalidades avançadas hoje. Incentivamos você a atualizar suas assinaturas para ter o conjunto completo de extensões habilitado e se beneficiar das adições e recursos mais recentes. Visite o painel Ambiente e configurações de sua assinatura do Defender para contêineres para habilitar a extensão.

Observação

Habilitar as adições mais recentes não incorrerá em novos custos para clientes ativos do Defender para contêineres.

Para obter mais informações, consulte Visão geral da segurança de contêiner Microsoft Defender para contêineres.

Versão da recomendação: o Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais

22 de agosto de 2023

Uma nova recomendação no Defender para Armazenamento foi lançada. Essa recomendação garante que o Defender para Armazenamento esteja habilitado no nível da assinatura com recursos de verificação de malware e detecção de ameaças de dados confidenciais.

Recomendação Descrição
O Microsoft Defender para Armazenamento deve ser habilitado com verificação de malware e detecção de ameaças de dados confidenciais O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. Com uma simples configuração sem agente em escala, quando habilitado no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura serão protegidas automaticamente. Você também pode excluir contas de armazenamento específicas de assinaturas protegidas.

Essa nova recomendação substitui a recomendação atual Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, essa recomendação ainda estará disponível nas nuvens do Azure Governamental.

Saiba mais sobre o Microsoft Defender para Armazenamento.

As propriedades estendidas nos alertas de segurança do Defender para Nuvem são mascaradas nos logs de atividades

17 de agosto de 2023

Recentemente, alteramos a forma como os alertas de segurança e os logs de atividades são integrados. Para uma maior proteção das informações confidenciais dos clientes, não incluímos mais essas informações nos logs de atividades. Em vez disso, nós as mascaramos com asteriscos. No entanto, essas informações ainda estão disponíveis por meio da API de alertas, da exportação contínua e do portal do Defender para Nuvem.

Os clientes que dependem de logs de atividades para exportar alertas para suas soluções de SIEM devem considerar o uso de uma solução diferente, pois não é o método recomendado para exportar alertas de segurança do Defender para Nuvem.

Para obter instruções sobre como exportar alertas de segurança do Defender para Nuvem para SIEM, SOAR e outros aplicativos de terceiros, consulte Transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Versão prévia do suporte à GCP no GPSN do Defender

15 de agosto de 2023

Estamos anunciando a versão prévia do grafo de segurança de nuvem contextual do GPSN do Defender e a análise do caminho de ataque com suporte para recursos da GCP. Você pode aplicar o poder do GPSN do Defender para obter visibilidade abrangente e segurança da nuvem inteligente em todos os recursos do GCP.

Os principais recursos do nosso suporte à GCP incluem:

  • Análise do caminho de ataque – entenda as possíveis rotas que os invasores podem usar.
  • Gerenciador de segurança de nuvem – identifique proativamente os riscos de segurança executando consultas baseadas em gráfico no grafo de segurança.
  • Verificação sem agente – verifique os servidores e identifique segredos e vulnerabilidades sem instalar um agente.
  • Postura de segurança com reconhecimento de dados – descubra e corrija riscos associados aos dados confidenciais em buckets do Google Cloud Storage.

Saiba mais sobre as opções de plano do GPSN do Defender.

Novos alertas de segurança no Plano 2 do Defender para servidores: detectando possíveis ataques que usam indevidamente extensões de máquina virtual do Azure

7 de agosto de 2023

Esta nova série de alertas se concentra na detecção de atividades suspeitas das extensões de máquina virtual do Azure e fornece insights sobre as tentativas dos invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.

O Microsoft Defender para servidores agora pode detectar atividades suspeitas das extensões de máquina virtual, permitindo que você obtenha uma melhor cobertura da segurança das cargas de trabalho.

As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:

  • Para coleta e monitoramento de dados.
  • Para execução de código e implantação de configuração com altos privilégios.
  • Para redefinir credenciais e criar usuários administrativos.
  • Para criptografar discos.

Aqui está uma tabela dos novos alertas.

Alerta (tipo de alerta) Descrição Táticas MITRE Severidade
Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia)
(VM_GPUExtensionSuspiciousFailure)
Intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia. Impacto Médio
Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Esse alerta foi lançado em julho de 2023.
Uma instalação suspeita de uma extensão de GPU foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais. Impacto Baixo
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousScript)
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. Execução Alto
Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousFailure)
Um uso suspeito e não autorizado do recurso Executar Comando falhou e foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. Execução Médio
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousUsage)
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes. Execução Baixo
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia)
(VM_SuspiciousMultiExtensionUsage)
Um uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais ao analisar as operações do Resource Manager do Azure em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente. Reconhecimento Médio
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia)
(VM_DiskEncryptionSuspiciousUsage)
A instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual pela análise das operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completas em suas máquinas virtuais por meio do Azure Resource Manager em uma tentativa de executar atividades de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões. Impacto Médio
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais (versão prévia)
(VM_VMAccessSuspiciousUsage)
Detectou-se um uso suspeito da extensão VM Access em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. Persistência Médio
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_DSCExtensionSuspiciousScript)
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. Execução Alto
O uso suspeito de uma extensão de DSC (Desired State Configuration) foi detectado em suas máquinas virtuais (versão prévia)
(VM_DSCExtensionSuspiciousUsage)
O uso suspeito de uma extensão DSC (Desired State Configuration) foi detectado em suas máquinas virtuais ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão. Impacto Baixo
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_CustomScriptExtensionSuspiciousCmd)
(Esse alerta já existe e foi aprimorado com métodos de detecção e lógica mais aprimorados.)
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual ao analisar as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas. Execução Alto

Consulte os alertas baseados em extensão no Defender para servidores.

Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.

Modelo de negócios e atualizações de preços para planos do Defender para Nuvem

1 de agosto de 2023

Microsoft Defender para Nuvem tem três planos que oferecem proteção de camada de serviço:

  • Defender para Key Vault

  • Defender para Resource Manager

  • Defender para DNS

Esses planos foram transferidos para um novo modelo de negócios com preços e embalagens diferentes para atender aos comentários dos clientes sobre a previsibilidade de gastos e a simplificação da estrutura geral de custos.

Resumo de alterações de preços e modelo de negócios:

Os clientes existentes do Defender para Key Vault, do Defender para Resource Manager e do Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.

  • Defender para Resource Manager: esse plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender para Resource Manager.

Os clientes existentes do Defender para Key Vault, do Defender para Resource Manager e do Defender para DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.

  • Defender para Resource Manager: esse plano tem um preço fixo por assinatura por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender para Resource Manager.
  • Defender para Key Vault: esse plano tem um preço fixo por cofre e por mês, sem custo excedente. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por cofre do Defender para Key Vault
  • Defender para DNS: Os clientes do Plano 2 do Microsoft Defender para servidores têm acesso ao valor do Defender para DNS como parte do Plano 2 do Microsoft Defender para servidores sem custo adicional. Os clientes que têm o Plano 2 do Defender para Servidor e o Defender para DNS não são mais cobrados pelo Defender para DNS. O Defender para DNS não está mais disponível como um plano autônomo.

Saiba mais sobre os preços desses planos na página de preços do Defender para Nuvem.

Julho de 2023

As atualizações de julho incluem:

Data Atualizar
31 de julho Versão prévia da Avaliação de Vulnerabilidades de contêineres da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades no Defender para Contêineres e no Defender para Registros de Contêiner
30 de julho A postura de contêineres sem agente no GPSN do Defender agora está em disponibilidade geral
Julho de 20 Gerenciamento de atualizações automáticas para o Microsoft Defender para Ponto de Extremidade para Linux
18 de julho Verificação de segredos sem agente para máquinas virtuais no Defender para servidores P2 e CSPM do Defender
12 de julho Novo alerta de segurança no plano 2 do Defender para servidores: detecção de possíveis ataques aproveitando as extensões de driver de GPU da VM do Azure
9 de julho Suporte para desabilitar descobertas de vulnerabilidade específicas
1º de julho A postura de segurança com reconhecimento de dados já está em disponibilidade geral

Versão prévia da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender

31 de julho de 2023

Estamos anunciando o lançamento da VA (Avaliação de Vulnerabilidade) para imagens de contêiner do Linux em registros de contêiner do Azure da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades no Defender para Contêineres e no Defender para Registros de Contêiner. A nova oferta de VA de contêiner será fornecida junto com nossa oferta de VA de contêiner existente da plataforma Qualys no Defender para contêineres e no Defender para Registros de Contêiner e incluirá verificações diárias de imagens de contêiner, informações de exploração, suporte para linguagens de sistema operacional e programação (SCA) e muito mais.

Essa nova oferta começará a ser distribuída hoje e deverá estar disponível para todos os clientes até 7 de agosto.

Saiba mais sobre a avaliação de vulnerabilidades de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.

A postura de contêineres sem agente no GPSN do Defender agora está em disponibilidade geral

30 de julho de 2023

Os recursos de postura de contêiner sem agente agora estão disponíveis em geral (GA) como parte do plano Defender CSPM (gerenciamento da postura de segurança na nuvem).

Saiba mais sobre a postura de contêineres sem agente no GPSN do Defender.

Gerenciamento de atualizações automáticas para o Microsoft Defender para Ponto de Extremidade para Linux

20 de julho de 2023

Por padrão, o Defender para Nuvem tenta atualizar seus agentes do Microsoft Defender para Ponto de Extremidade para Linux integrados com a extensão MDE.Linux. Com esta versão, você pode gerenciar essa configuração e recusar a configuração padrão para gerenciar seus ciclos de atualização manualmente.

Verificação de segredos sem agente para máquinas virtuais no Defender para servidores P2 e CSPM do Defender

18 de julho de 2023

A verificação de segredos agora está disponível como parte da verificação sem agente no Defender para servidores P2 e Defender CSPM. Esse recurso ajuda a detectar segredos não gerenciados e inseguros salvos em máquinas virtuais no Azure ou em recursos da AWS que podem ser usados para se mover lateralmente na rede. Se forem detectados segredos, o Defender para Nuvem pode ajudar a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimentação lateral, tudo isso sem afetar o desempenho do seu computador.

Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.

Novo alerta de segurança no plano 2 do Defender para servidores: detecção de possíveis ataques aproveitando as extensões de driver de GPU da VM do Azure

12 de julho de 2023

Esse alerta se concentra em identificar atividades suspeitas que aproveitam as extensões de driver de GPU da máquina virtual do Azure e fornece insights sobre as tentativas dos invasores de comprometer suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; Essas extensões geralmente são abusadas por atores de ameaça para utilizar todo o poder do cartão de GPU e executar o cryptojacking.

Nome de Exibição do Alerta
(Tipo de alerta)
Descrição Severidade Tática MITRE
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Uma instalação suspeita de uma extensão do GPU foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Baixo Impacto

Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender para Nuvem.

Suporte para desabilitar descobertas de vulnerabilidade específicas

9 de julho de 2023

Liberação de suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Caso você tenha uma necessidade organizacional para ignorar uma descoberta de vulnerabilidade na sua imagem de registro de contêiner, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua Secure Score nem geram ruído indesejado.

Saiba como desabilitar as constatações da avaliação de vulnerabilidade em imagens do Registro de contêiner.

A postura de segurança com reconhecimento de dados já está em disponibilidade geral

1º de julho de 2023

A postura de segurança com reconhecimento de dados no Microsoft Defender para Nuvem já está em disponibilidade geral. Ela ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Usando a postura de segurança com reconhecimento de dados, você pode:

  • Descubra automaticamente recursos de dados confidenciais no Azure e no AWS.
  • Avaliar a confidencialidade dos dados, a exposição de dados e como os dados fluem pela organização.
  • Descobrir proativa e continuamente riscos que podem levar a violações de dados.
  • Detecte atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais

Para obter mais informações, confira Postura de segurança com reconhecimento de dados no Microsoft Defender para Nuvem.

Junho de 2023

As atualizações de junho incluem:

Data Atualizar
26 de junho Integração simplificada de contas em várias nuvens com configurações aprimoradas
Junho de 25 Suporte ao Ponto de Extremidade Privado para verificação de malware no Defender para Armazenamento
15 de junho As atualizações de controle foram feitas para os padrões NIST 800-53 em conformidade regulatória
11 de junho O planejamento da migração para a nuvem com um caso de negócios do Migrações para o Azure agora inclui o Defender para Nuvem
7 de junho A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está em Disponibilidade Geral
6 de junho Mais escopos adicionados aos Conectores do Azure DevOps existentes
4 de junho Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no GPSN do Defender

Integração simplificada de contas em várias nuvens com configurações aprimoradas

26 de junho de 2023

O Defender para Nuvem melhorou a experiência de integração para incluir uma nova interface de usuário e instruções simplificadas, além de novos recursos que permitem integrar seus ambientes AWS e GCP, fornecendo acesso a recursos avançados de integração.

Para as organizações que adotaram o Hashicorp Terraform para automação, o Defender para Nuvem agora inclui a capacidade de usar o Terraform como método de implantação juntamente com o AWS CloudFormation ou o GCP Cloud Shell. Agora você pode personalizar os nomes das funções necessárias ao criar a integração. Você também pode selecionar entre:

  • Acesso padrão - permite que o Defender para Nuvem examine seus recursos e inclua automaticamente recursos futuros.

  • Acesso com menos privilégios - concede ao Defender para Nuvem acesso somente às permissões atuais necessárias para os planos selecionados.

Se você selecionar as permissões menos privilegiadas, só receberá notificações sobre quaisquer novas funções e permissões necessárias para obter a funcionalidade completa na seção de integridade do conector.

O Defender para Nuvem permite distinguir suas contas de nuvem por seus nomes nativos daqueles dos fornecedores de nuvem. Por exemplo, codinomes de conta da AWS e nomes do projeto GCP.

Suporte ao Ponto de Extremidade Privado para verificação de malware no Defender para Armazenamento

25 de junho de 2023

O suporte ao Ponto de Extremidade Privado agora está disponível como parte da visualização pública da verificação de malware no Defender para Armazenamento. Essa funcionalidade permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma configuração adicional é necessária.

A verificação de malware (versão prévia) no Defender para Armazenamento ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando recursos do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero e dá suporte à automatização da resposta em escala.

Os pontos de extremidade privados fornecem conectividade segura aos serviços do Armazenamento do Azure, eliminando a exposição pública à Internet, e são considerados uma prática recomendada.

Para contas de armazenamento com pontos de extremidade privados que já têm a verificação de malware habilitada, você precisará desabilitar e habilitar o plano com verificação de malware para que isso funcione.

Saiba mais sobre como usar pontos de extremidade privados no Defender para Armazenamento e como proteger ainda mais seus serviços de armazenamento.

Recomendação lançada em versão prévia: as imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender)

21 de junho de 2023

Uma nova recomendação de contêiner no Defender CSPM da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades é lançada para versão prévia:

Recomendação Descrição Chave de avaliação
As imagens de contêiner em execução devem ter as vulnerabilidade descobertas resolvidas (pela plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender)(versão prévia) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Essa nova recomendação substitui a recomendação atual de mesmo nome, da plataforma Qualys, somente no GPSN do Defender (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).

As atualizações de controle foram feitas para os padrões NIST 800-53 em conformidade regulatória

15 de junho de 2023

Os padrões NIST 800-53 (R4 e R5) foram atualizados recentemente com alterações de controle no Microsoft Defender para conformidade regulatória na nuvem. Os controles gerenciados pela Microsoft foram removidos do padrão e as informações sobre a implementação de responsabilidade da Microsoft (como parte do modelo de responsabilidade compartilhada na nuvem) agora estão disponíveis apenas no painel de detalhes do controle em Ações da Microsoft.

Esses controles foram calculados anteriormente como controles passados, portanto, você pode visualizar uma queda significativa na pontuação de conformidade para padrões NIST entre abril de 2023 e maio de 2023.

Para obter mais informações sobre controles de conformidade, consulte Tutorial: Verificações de conformidade regulatória – Microsoft Defender para Nuvem.

O planejamento da migração para a nuvem com um caso de negócios do Migrações para Azure agora inclui o Defender para Nuvem

11 de junho de 2023

Agora você pode descobrir possíveis economias de custo em segurança aplicando o Defender para Nuvem no contexto de um caso de negócios do Migrações para Azure.

A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está em Disponibilidade Geral

7 de junho de 2023

A configuração expressa para avaliações de vulnerabilidade no Defender para SQL agora está em Disponibilidade Geral. A configuração expressa fornece uma experiência de integração simplificada para avaliações de vulnerabilidade do SQL usando uma configuração com um clique (ou uma chamada à API). Não há configurações ou dependências extras necessárias nas contas de armazenamento gerenciadas.

Confira este blog para saber mais sobre a configuração expressa.

Você pode aprender as diferenças entre as configurações expressa e clássica.

Mais escopos adicionados aos Conectores do Azure DevOps existentes

6 de junho de 2023

O Defender para DevOps adicionou os seguintes escopos extras ao aplicativo ADO (Azure DevOps):

  • Gerenciamento avançado de segurança: vso.advsec_manage. O que é necessário para permitir que você habilite, desabilite e gerencie o GitHub Advanced Security para o ADO.

  • Mapeamento de contêiner: vso.extension_manage, vso.gallery_manager; O que é necessário para permitir que você compartilhe a extensão do decorador com a organização do ADO.

Somente novos clientes do Defender para DevOps que estão tentando integrar recursos do ADO para o Microsoft Defender para Nuvem são afetados por essa alteração.

A integração direta (sem o Azure Arc) ao Microsoft Defender para Servidores agora está em Disponibilidade Geral

5 de junho, 2023

Anteriormente, o Azure Arc era necessário para integrar servidores que não são do Azure ao Microsoft Defender para Servidores. No entanto, com a versão mais recente, você também pode integrar seus servidores locais ao Microsoft Defender para Servidores usando apenas o agente do Microsoft Defender para Ponto de Extremidade.

Esse novo método simplifica o processo de integração para clientes focados na proteção de ponto de extremidade principal e permite que você aproveite a cobrança baseada em consumo do Defender para Servidores para ativos de nuvem e fora da nuvem. A opção de integração direta por meio do Defender para Ponto de Extremidade já está disponível, com cobrança para computadores integrados a partir de 1º de julho.

Para obter mais informações, confira Conectar seus computadores que não são do Azure ao Microsoft Defender para Nuvem com o Defender para Ponto de Extremidade.

Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no GPSN do Defender

4 de junho de 2023

Com as funcionalidades de Postura de Contêiner sem Agente disponíveis no GPSN do Defender, as funcionalidades de descoberta baseada em agente são desativadas. Se você usa recursos de contêiner no GPSN do Defender, verifique se as extensões relevantes estão habilitadas para continuar recebendo o valor relacionado ao contêiner dos novos recursos sem agente, como caminhos de ataque, insights e inventário relacionados a contêineres. (Pode levar até 24 horas para ver os efeitos da habilitação das extensões).

Saiba mais em Postura de contêiner sem agente.

Maio de 2023

As atualizações de maio incluem:

Novo alerta do Defender para Key Vault

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo)
(KV_UnusualAccessSuspiciousIP)
Um usuário ou entidade de serviço tentou acessar de forma anômala os cofres de chaves a partir de um IP não pertencente à Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio

Para ver todos os alertas disponíveis, confira Alertas para Azure Key Vault.

A verificação sem agente agora tem suporte para discos criptografados na AWS

A verificação sem agente para VMs agora suporta o processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.

Esse suporte estendido aumenta a cobertura e a visibilidade de seu espaço na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero nas instâncias em execução.

  • Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é interna e suportada por padrão.
  • Para clientes existentes que já possuem um conector AWS com a verificação sem agente ativada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo atualizado do CloudFormation inclui novas atribuições que permitem ao Microsoft Defender para Nuvem processar discos os criptografados.

Você pode saber mais sobre as permissões usadas para verificar as instâncias da AWS.

Para reaplicar sua pilha do CloudFormation:

  1. Acesse as configurações do ambiente do Microsoft Defender para Nuvem e abra o conector da AWS.
  2. Navegue até a guia Configurar Acesso.
  3. Selecione Clique para baixar o modelo do CloudFormation.
  4. Navegue até o ambiente da AWS e aplique o modelo atualizado.

Saiba mais sobre a verificação sem agente e a habilitação da verificação sem agente na AWS.

Convenções de nomenclatura de regra JIT (just-in-time) revisadas no Defender para Nuvem

Revisamos as regras JIT (just-in-time) para se alinharem à marca Microsoft Defender para Nuvem. Alteramos as convenções de nomenclatura para regras de Firewall do Azure e Grupo de Segurança de Rede (NSG).

As alterações são listadas da seguinte maneira:

Descrição Nome antigo Novo nome
Nomes de regras JIT (permitir e negar) no Grupo de Segurança de Rede (NSG) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
Descrições de regras JIT no NSG Regra de acesso à rede JIT da ASC Regra de acesso à rede JIT do MDC
Nomes de coleção de regras de firewall JIT ASC-JIT MDC-JIT
Nomes de regras de firewall JIT ASC-JIT MDC-JIT

Saiba como proteger suas portas de gerenciamento com acesso just-in-time.

Integrar as regiões da AWS selecionadas

Para ajudar você a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS verificar ao adicionar ou editar um conector de nuvem. Agora você pode verificar regiões específicas da AWS selecionadas ou todas as regiões disponíveis (padrão) ao integrar suas contas da AWS ao Microsoft Defender para Nuvem. Saiba mais em Conectar sua conta da AWS ao Microsoft Defender para Nuvem.

Várias alterações nas recomendações de identidade

As seguintes recomendações agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.

Versão em GA (disponibilidade geral) das recomendações de identidade V2

A versão V2 das recomendações de identidade apresenta os aprimoramentos a seguir:

  • O escopo da verificação foi expandido para incluir todos os recursos do Azure, não apenas as assinaturas. Isso permite que os administradores de segurança exibam atribuições de função por conta.
  • As contas específicas podem agora ser isentas de avaliação. Contas do tipo acesso rápido ou contas de serviço podem ser excluídas pelos administradores de segurança.
  • A frequência de verificação foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.

As seguintes recomendações de segurança estão disponíveis em disponibilidade geral e substituem as recomendações V1:

Recomendação Chave de avaliação
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA 6240402e-f77c-46fa-9060-a7ce53997754
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Preterimento das recomendações de identidade V1

As seguintes recomendações de segurança foram preteridas:

Recomendação Chave de avaliação
A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas. 94290b00-4d0c-d7b4-7cea-064a9554e681
A MFA deve ser habilitada em contas com permissões de gravação em assinaturas. 57e98606-6b1e-6193-0e3d-fe621387c16b
A MFA deve ser habilitada em contas com permissões de leitura em assinaturas. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Contas externas com permissões de proprietário devem ser removidas das assinaturas. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Contas externas com permissões de gravação devem ser removidas das assinaturas. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Contas externas com permissões de leitura devem ser removidas das assinaturas. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. e52064aa-6853-e252-a11e-dffc675689c2
As contas preteridas devem ser removidas das assinaturas 00c6d40b-e990-6acf-d4f3-471e747a27c4

Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações V2.

Substituição de padrões herdados no painel de conformidade

O PCI DSS v3.2.1 herdado e o SOC TSP herdado foram totalmente preteridos no painel de conformidade do Defender para Nuvem e substituídos pela iniciativa SOC 2 Tipo 2 e pelos padrões de conformidade baseados na iniciativa PCI DSS v4. Preterimos totalmente o suporte ao padrão/iniciativa PCI DSS no Microsoft Azure operado pela 21Vianet.

Saiba como personalizar o conjunto de padrões no seu painel de conformidade regulatória.

O Defender para DevOps inclui descobertas de verificação do Azure DevOps

O Defender para DevOps Code e a IaC expandiram sua cobertura de recomendação no Microsoft Defender para Nuvem para incluir as descobertas de segurança do Azure DevOps para as duas recomendações a seguir:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Anteriormente, a cobertura da verificação de segurança do Azure DevOps incluía apenas a recomendação de segredos.

Saiba mais sobre o Defender para DevOps.

Nova configuração padrão para a solução de avaliação de vulnerabilidades do Defender para servidores

As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger os computadores contra ataques cibernéticos e violações de dados.

O Gerenciamento de Vulnerabilidades do Microsoft Defender agora está habilitado como a solução interna padrão para todas as assinaturas protegidas pelo Defender para Servidores que ainda não têm uma solução VA selecionada.

Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.

Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).

Baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem (versão prévia)

O Defender para Nuvem adicionou a capacidade de baixar um relatório CSV dos resultados da consulta do Gerenciador de Segurança de Nuvem.

Depois de executar uma pesquisa por uma consulta, você pode selecionar o botão Baixar relatório CSV (versão prévia) na página do Cloud Security Explorer no Defender para Nuvem.

Saiba como Criar consultas com o gerenciador de segurança na nuvem

O lançamento da avaliação de vulnerabilidades de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender

Estamos anunciando o lançamento da Avaliação de Vulnerabilidade para imagens do Linux em registros de contêiner do Azure da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades no Defender CSPM. Essa versão inclui a verificação diária de imagens. As descobertas usadas no Gerenciador de Segurança e nos caminhos de ataque dependem da Avaliação de Vulnerabilidade do Microsoft Defender, em vez do verificador Qualys.

A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:

Recomendação Descrição Chave de avaliação
As descobertas de vulnerabilidade das imagens do registro de contêiner devem ser resolvidas (por meio da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. dbd0cb49-b563-45e7-9724-889e799fa648 é substituído por c0b7cfc6-3172-465a-b378-53c7ff2cc0d5.

Saiba mais sobre a postura de contêineres sem agente no CSPM do Defender.

Saiba mais sobre o Gerenciamento de Vulnerabilidades do Microsoft Defender.

Renomeação das recomendações de contêiner da plataforma Qualys

As recomendações de contêiner atuais no Defender para Contêineres serão renomeadas da seguinte maneira:

Recomendação Descrição Chave de avaliação
As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. dbd0cb49-b563-45e7-9724-889e799fa648
As descobertas de vulnerabilidade da execução de imagens do registro de contêiner devem ser resolvidas (da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. 41503391-efa5-47ee-9282-4eff6131462c

Atualização do Aplicativo GitHub do Defender para DevOps

O Microsoft Defender para DevOps está constantemente fazendo alterações e atualizações que exigem que os clientes do Defender para DevOps que integraram seus ambientes do GitHub no Defender para Nuvem forneçam permissões como parte do aplicativo implantado em sua organização do GitHub. Essas permissões são necessárias para garantir que todos os recursos de segurança do Defender para DevOps operem normalmente e sem problemas.

Sugerimos atualizar as permissões o mais rápido possível para garantir o acesso contínuo a todos os recursos disponíveis do Defender para DevOps.

As permissões podem ser concedidas de duas maneiras diferentes:

  • Em sua organização, selecione Aplicativos do GitHub. Localize Sua organização e selecione Examinar solicitação.

  • Você receberá um email automatizado do Suporte do GitHub. No email, selecione Revisar solicitação de permissão para aceitar ou rejeitar essa alteração.

Depois de seguir qualquer uma dessas opções, você será direcionado para a tela de revisão, na qual deverá examinar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.

Se você precisar de assistência para atualizar permissões, poderá criar uma solicitação de suporte do Azure.

Saiba mais sobre o Defender para DevOps. Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes nessa assinatura. Você pode optar por habilitar uma solução de VA nas VMs restantes em suas assinaturas.

Saiba como Localizar vulnerabilidades e coletar inventário de software com a verificação sem agente (versão prévia).

As anotações de solicitação de pull do Defender para DevOps nos repositórios do Azure DevOps agora incluem Infraestrutura como configurações incorretas de código

O Defender para DevOps expandiu sua cobertura de anotação de Solicitação de Pull (PR) no Azure DevOps para incluir configurações incorretas de Infraestrutura como Código (IaC) detectadas em modelos do Azure Resource Manager e do Bicep.

Os desenvolvedores agora podem ver anotações de configurações incorretas de IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho de nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de severidade, uma descrição de configuração incorreta e instruções de correção dentro de cada anotação.

Anteriormente, a cobertura para anotações de PR do Defender para DevOps no Azure DevOps incluía apenas segredos.

Saiba mais sobre anotações do Defender para DevOps e Anotações de Solicitação de Pull.

Abril de 2022

As atualizações de abril incluem:

Postura de contêiner sem agente no GPSN do Defender (versão prévia)

Os novos recursos de Postura de Contêiner sem Agente (versão prévia) estão disponíveis como parte do plano de GPSN do Defender (Gerenciamento da Postura de Segurança na Nuvem).

A Postura de Contêiner sem Agente permite que as equipes de segurança identifiquem riscos de segurança em contêineres e realms do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade em seus registros do kubernetes e contêineres em SDLC e runtime, removendo atrito e volume das cargas de trabalho.

A Postura de Contêiner sem Agente oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise do caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades de contêiner específicas. Você também pode usar o gerenciador de segurança de nuvem para descobrir riscos e buscar insights de postura de contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostos à Internet.

Saiba mais em Postura de contêiner sem agente (versão prévia).

Recomendação da criptografia de disco unificada (versão prévia)

Há novas recomendações de criptografia de disco unificada em versão prévia.

  • Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Essas recomendações substituem Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detectou o Azure Disk Encryption e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detectou o EncryptionAtHost. O ADE e o EncryptionAtHost fornecem uma cobertura de criptografia em repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detectam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiverem. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).

As novas recomendações exigem a Configuração de Máquina do Gerenciamento Automatizado do Azure.

Essas recomendações são baseadas nas seguintes políticas:

Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.

Alterações na recomendação Os computadores devem ser configurados com segurança

A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha a sua experiência com o comportamento genérico das recomendações do Defender para Nuvem.

Como parte dessa atualização, a ID das recomendações foi alterada de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.

Nenhuma ação é necessária no lado do cliente e não há expectativa de impacto na pontuação de segurança.

Preterimento das políticas de monitoramento de linguagem do Serviço de Aplicativo

As seguintes políticas de monitoramento de linguagem do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Você sempre deve garantir que está usando uma versão de linguagem sem nenhuma vulnerabilidade conhecida.

Nome de política ID da Política
Os aplicativos do Serviço de Aplicativo que usam o Java devem utilizar a 'versão do Java' mais recente 496223c3-ad65-4ecd-878a-bae78737e9ed
Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a 'versão do Python' mais recente 7008174a-fd10-4ef0-817e-fc820a951d73
Os aplicativos de Funções que usam o Java devem utilizar a “versão do Java” mais recente 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Os aplicativos de funções que usam o Python devem usar a 'versão do Python' mais recente 7238174a-fd10-4ef0-817e-fc820a951d73
Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente 7261b898-8a84-4db8-9e04-18527132abb3

Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de linguagem especificada para os Serviços de Aplicativos.

Essas políticas não estarão mais disponíveis nas recomendações integradas do Defender para Nuvem. Você pode adicioná-las como recomendações personalizadas para que o Defender para Nuvem as monitore.

Novo alertas no Defender para Resource Manager

O Defender para Resource Manager tem o novo alerta a seguir:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada
(ARM_SuspiciousComputeCreation)
O Microsoft Defender para Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Dimensionamento do Azure. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas.
A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura.
Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada.
Impacto Médio

Você pode ver uma lista de todos os alertas disponíveis para o Resource Manager.

Três alertas no plano Defender para Resource Manager foram preteridos

Os três alertas a seguir para o plano do Defender para Resource Manager foram preteridos:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

No cenário em que uma atividade de um endereço IP suspeito for detectada, um dos seguintes alertas do plano Defender para Resource Manager Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.

A exportação automática de alertas para o workspace do Log Analytics está definida para ser preterida

Os alertas de segurança do Defender para Nuvem são exportados automaticamente para um workspace do Log Analytics padrão no nível do recurso. Isso causa um comportamento indeterminado e, portanto, esse recurso foi preterido.

Em vez disso, você pode exportar seus alertas de segurança para um workspace do Log Analytics dedicado com Exportação Contínua.

Se você já tiver configurado a exportação contínua de seus alertas para um workspace do Log Analytics, nenhuma ação adicional será necessária.

Preterimento e aprimoramento de alertas selecionados para servidores Windows e Linux

O processo de aprimoramento da qualidade do alerta de segurança do Defender para servidores inclui o preterimento de alguns alertas para servidores Windows e Linux. Os alertas preteridos agora são originados e cobertos pelos alertas de ameaça do Defender para Ponto de Extremidade.

Se a integração do Defender para Ponto de Extremidade já estiver habilitada, nenhuma ação adicional será necessária. Você poderá observar uma diminuição no volume de alertas em abril de 2023.

Se você não tiver a integração do Defender para Ponto de Extremidade habilitada no Defender para servidores, será necessário habilitar a integração do Defender para Ponto de Extremidade a fim de manter e aprimorar a cobertura de alertas.

Todos os clientes do Defender para Servidores têm acesso total à integração do Defender para Ponto de Extremidade como parte do plano do Defender para Servidores.

Saiba mais sobre as opções de integração do Microsoft Defender para Ponto de Extremidade.

Você também pode ver a lista completa de alertas que estão definidos para serem preteridos.

Leia o Blog do Microsoft Defender para Nuvem.

Adicionamos quatro novas recomendações de autenticação do Active Directory do Azure para os Serviços de Dados do Azure.

Nome da Recomendação Descrição da Recomendação Política
O modo de autenticação de Instância Gerenciada de SQL do Azure deve ser Somente do Azure Active Directory Desabilitar os métodos de autenticação local e permitir apenas a autenticação do Azure Active Directory melhora a segurança, garantindo que as Instâncias Gerenciadas de SQL do Azure possam ser acessadas exclusivamente pelas identidades do Azure Active Directory. A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
O modo de autenticação de Workspace do Azure Synapse deve ser Somente do Azure Active Directory Os métodos de autenticação somente do Azure Active Directory aprimoram a segurança, garantindo que os Workspaces do Synapse exijam exclusivamente identidades do Azure AD para autenticação. Saiba mais. Os Workspaces do Azure Synapse só devem usar as identidades do Azure Active Directory para autenticação
O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Active Directory provisionado Provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL a fim de habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft Um administrador do Azure Active Directory deve ser provisionado para servidores MySQL
O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Active Directory provisionado Provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL a fim de habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft Um administrador do Azure Active Directory deve ser provisionado para servidores PostgreSQL

As recomendações System updates should be installed on your machines (powered by Azure Update Manager) e Machines should be configured to periodically check for missing system updates foram publicadas em Disponibilidade Geral.

Para usar a nova recomendação, é necessário:

Após concluir essas etapas, você poderá remover a antiga recomendação System updates should be installed on your machines desabilitando-a na iniciativa integrada do Defender para Nuvem na política do Azure.

As duas versões das recomendações:

Ambos estarão disponíveis até que o agente do Log Analytics seja preterido em 31 de agosto de 2024, que é quando a versão mais antiga (System updates should be installed on your machines) da recomendação também será preterida. Ambas as recomendações retornam o mesmo resultado e estão disponíveis no âmbito do mesmo controle de Apply system updates.

A nova System updates should be installed on your machines (powered by Azure Update Manager) de recomendação tem um fluxo de correção disponível por meio do botão Corrigir, que pode ser usado para corrigir quaisquer resultados por meio do Gerenciador de atualizações (visualização). Esse processo de correção ainda está em Versão Prévia.

Não se espera que a nova System updates should be installed on your machines (powered by Azure Update Manager) de recomendação afete sua Pontuação Segura, pois ela tem os mesmos resultados que a antiga System updates should be installed on your machines de recomendação.

A recomendação de pré-requisito (Habilitar a propriedade de avaliação periódica ) tem um efeito negativo na sua pontuação segura. Você pode corrigir esse efeito negativo com o botão Corrigir disponível.

Defender para APIs (Versão prévia)

O Defender para Nuvem da Microsoft está anunciando que o novo Defender para APIs está disponível em versão preliminar.

O Defender para APIs oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs.

O Defender para APIs ajuda você a obter visibilidade das APIs comercialmente críticas. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar rapidamente ameaças ativas em tempo real.

Saiba mais sobre o Defender para APIs.

Março de 2023

As atualizações de março incluem:

Um novo plano do Defender para Armazenamento está disponível, incluindo a verificação de malware em tempo quase real e a detecção de ameaças contra dados confidenciais

O armazenamento na nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje estamos anunciando um novo plano do Defender para Armazenamento. Se você estiver usando o plano anterior (agora renomeado para "Defender para Armazenamento (clássico)"), precisará migrar proativamente para o novo plano para usar os novos recursos e benefícios.

O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Esse plano também fornece uma estrutura de preços mais previsível e mais flexível para um melhor controle da cobertura e dos custos.

O novo plano tem novos recursos, agora em pré-visualização pública:

  • Detecção de eventos de exposição e exfiltração de dados confidenciais

  • Verificação de malware de blobs no upload em tempo quase real em todos os tipos de arquivo

  • Detecção de entidades sem nenhuma identidade usando tokens SAS

Esses recursos aprimoram o recurso de Monitoramento de Atividades existente com base no controle e na análise de logs do plano de dados e na modelagem comportamental para identificar os primeiros sinais de violação.

Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece um controle granular sobre a proteção de dados nos níveis de assinatura e de recursos.

Saiba mais em Visão geral do Microsoft Defender para Armazenamento.

Postura de segurança com reconhecimento de dados (versão prévia)

O Microsoft Defender para Nuvem ajuda as equipes de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na nuvem. O recurso permite que as equipes superem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, impedindo uma violação de dados dispendiosa.

  • Descubra recursos de dados automaticamente em todo o acervo da nuvem e avalie sua acessibilidade, a confidencialidade dos dados e os fluxos de dados configurados. — Revele continuamente os riscos dos caminhos de ataque ou exposição das violações de dados de recursos de dados confidenciais que podem resultar na possibilidade de um recurso de dados usar uma técnica de movimentação lateral.
  • Detecte atividades suspeitas que possam indicar uma ameaça em andamento aos recursos de dados confidenciais.

Saiba mais sobre a postura de segurança com reconhecimento de dados.

Experiência aprimorada para gerenciar as políticas de segurança padrão do Azure

Estamos apresentando uma experiência aprimorada de gerenciamento de políticas de segurança do Azure para recomendações integradas que simplificam a forma como os clientes do Defender para Nuvem ajustam seus requisitos de segurança. A nova experiência inclui os seguintes novos recursos:

  • Uma interface simples permite melhor desempenho e experiência ao gerenciar políticas de segurança padrão no Defender para Nuvem.
  • Uma exibição única de todas as recomendações de segurança integradas oferecidas pelo Microsoft Cloud Security Benchmark (antigo Azure Security Benchmark). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos incluídos e a relação entre os parâmetros e recomendações.
  • Novos recursos, como filtros e pesquisa, foram adicionados.

Saiba como gerenciar políticas de segurança.

Leia o Blog do Microsoft Defender para Nuvem.

O Defender GPSN (Gerenciamento da Postura de Segurança na Nuvem) agora está em Disponibilidade Geral (GA)

Estamos anunciando que o CSPM do Defender agora está em disponibilidade geral (GA). O Defender GPSN oferece todos os serviços disponíveis como recursos fundamentais de GPSN e adiciona os seguintes benefícios:

  • Análise do caminho de ataque e a API do ARG — A análise do caminho de ataque usa um algoritmo baseado em grafo que verifica o grafo de segurança da nuvem para expor os caminhos do ataque e sugere recomendações para a melhor forma de corrigir os problemas que interrompem o caminho de ataque e evitar que uma violação seja bem-sucedida. Você também pode consumir caminhos de ataque programaticamente consultando a API do Azure Resource Graph (ARG). Saiba como usar a Análise do caminho de ataque
  • Cloud Security Explorer — use o Cloud Security Explorer para executar consultas baseadas em grafo no grafo de segurança da nuvem para identificar proativamente os riscos de segurança nos seus ambientes multinuvem. Saiba mais sobre o Cloud Security Explorer.

Saiba mais sobre o Defender do CSPM.

Opção para criar recomendações e padrões de segurança personalizados no Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem fornece a opção de criar recomendações e padrões personalizados para a AWS e o GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas relativas aos seus dados. Esse recurso faz parte do plano de GPSN (Gerenciamento da Postura de Segurança na Nuvem) do Defender. Saiba como criar recomendações e padrões personalizados.

O Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está em Disponibilidade Geral (GA)

O Microsoft Defender para Nuvem está anunciando que o Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está em Disponibilidade Geral (GA).

O MCSB versão 1.0 substitui o Azure Security Benchmark (ASB) versão 3 como a política de segurança padrão do Defender para Nuvem. O MCSB versão 1.0 aparece como o padrão de conformidade padrão no painel de controle de conformidade e está habilitado por padrão para todos os clientes do Defender para Nuvem.

Você também pode aprender Como o Microsoft Cloud Security Benchmark (MCSB) ajuda você a ser bem-sucedido em sua jornada de segurança na nuvem.

Saiba mais sobre o MCSB.

Alguns padrões de conformidade regulatória agora estão disponíveis nas nuvens governamentais

Estamos atualizando esses padrões para clientes no Azure Governamental e no Microsoft Azure operados pela 21Vianet.

Azure Governamental:

Microsoft Azure operado pela 21Vianet:

Saiba como Personalizar o conjunto de padrões no seu painel de conformidade regulatória.

Nova recomendação de visualização para servidores SQL do Azure

Adicionamos uma nova recomendação para os Servidores SQL do Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).

A recomendação é baseada na política existente Azure SQL Database should have Azure Active Directory Only Authentication enabled

Essa recomendação desabilita os métodos de autenticação local e permite apenas a Autenticação do Azure Active Directory que melhora a segurança, garantindo que os Bancos de Dados SQL do Azure possam ser acessados exclusivamente pelas identidades do Azure Active Directory.

Saiba como criar servidores com a autenticação somente Azure AD habilitada no SQL do Azure.

Novo alerta do Defender para Key Vault

O Defender para Key Vault tem o seguinte novo alerta:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Acesso negado de um IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccessDenied)
Tentativa de acesso sem êxito ao cofre de chaves por um IP que foi identificado pela inteligência contra ameaças da Microsoft como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. Acesso com credencial Baixo

Você pode ver uma lista de todos os alertas disponíveis para o Key Vault.

Fevereiro de 2023

As atualizações de fevereiro incluem:

Cloud Security Explorer aprimorado

Uma versão aprimorada do Cloud Security Explorer inclui uma experiência de usuário atualizada que remove consideravelmente o atrito de consulta, adicionou a capacidade de executar consultas multinuvem e de vários recursos e inseriu a documentação para cada opção de consulta.

O Cloud Security Explorer já permite que você execute consultas abstratas na nuvem entre recursos. Use os modelos de consulta predefinidos ou a pesquisa personalizada para aplicar filtros a fim de criar sua consulta. Saiba como gerenciar o Cloud Security Explorer.

Verificações de vulnerabilidade do Microsoft Defender para contêineres de execução de imagens do Linux agora em GA

O Microsoft Defender para contêineres detecta vulnerabilidades na execução de contêineres. Contêineres do Windows e do Linux são compatíveis.

Em agosto de 2022, essa capacidade foi lançada em versão prévia para Windows e Linux. Agora estamos lançando-o para disponibilidade geral (GA) para o Linux.

Quando as vulnerabilidades são detectadas, o Defender para Nuvem gera a recomendação de segurança a seguir, listando os problemas detectados: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.

Saiba mais sobre como exibir vulnerabilidades para execução de imagens.

Anunciando suporte para o padrão de conformidade AWS CIS 1.5.0

O Defender para Nuvem agora dá suporte ao padrão de conformidade do CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes do MDC para recomendações e padrões multinuvem.

Esse novo padrão inclui recomendações existentes e novas que estendem a cobertura do Defender para Nuvem para novos serviços e recursos da AWS.

Saiba como Gerenciar avaliações e padrões da AWS.

O Microsoft Defender para DevOps (versão prévia) agora está disponível em outras regiões

O Microsoft Defender para DevOps expandiu sua versão prévia e agora está disponível nas regiões Oeste da Europa e Leste da Austrália, quando você integra seus recursos do Azure DevOps e do GitHub.

Saiba mais sobre o Microsoft Defender para DevOps.

A política interna [Versão prévia]: O ponto de extremidade privado deve ser configurado para o Key Vault foi preterida

A política interna [Preview]: Private endpoint should be configured for Key Vault foi preterida e substituída pela política [Preview]: Azure Key Vaults should use private link.

Saiba mais sobre como integrar o Azure Key Vault ao Azure Policy.

Janeiro de 2023

As atualizações em janeiro incluem:

O componente da Proteção de Ponto de Extremidade (Microsoft Defender para Ponto de Extremidade) agora é acessado na página Configurações e monitoramento

Para acessar a proteção do Ponto de Extremidade, navegue até Configurações do ambiente>Planos do Defender>Configurações e monitoramento. A partir daqui, você pode definir a proteção do Ponto de extremidade como Ativado. Você também pode ver os outros componentes gerenciados.

Saiba mais sobre como habilitar Microsoft Defender para Ponto de Extremidade nos seus servidores com o Defender para Servidores.

Nova versão da recomendação para localizar as atualizações do sistema ausentes (Versão prévia)

Não é mais necessário ter um agente nas VMs do Azure e nos computadores do Azure Arc para garantir que os computadores tenham todas as atualizações críticas ou de segurança mais recentes do sistema.

A nova recomendação de atualizações do sistema, System updates should be installed on your machines (powered by Azure Update Manager) no controle Apply system updates, baseia-se no Centro de gerenciamento de atualizações (versão prévia). A recomendação depende de um agente nativo inserido em todos os computadores de VM do Azure e do Azure Arc, em vez de um agente instalado. A Correção Rápida na nova recomendação o guia por uma instalação única das atualizações ausentes no portal do Centro de gerenciamento de atualizações.

Para usar a nova recomendação, é necessário:

  • Conecte os computadores não Azure ao Arc
  • Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação, Machines should be configured to periodically check for missing system updates para corrigir a recomendação.

A recomendação existente "As atualizações do sistema devem ser instaladas nos computadores", que depende do agente do Log Analytics, ainda está disponível sob o mesmo controle.

Limpeza dos computadores excluídos do Azure Arc nas contas AWS e GCP conectadas

Um computador conectado a uma conta AWS e GCP contemplada pelo Defender para Servidores ou pelo Defender para SQL nos computadores é representado no Defender para Nuvem como um computador do Azure Arc. Até agora, esse computador não foi excluído do inventário, quando o computador foi excluído da conta AWS ou GCP. Levando a recursos desnecessários do Azure Arc deixados no Defender para Nuvem, que representam computadores excluídos.

O Defender para Nuvem agora excluirá automaticamente os computadores do Azure Arc, quando esses computadores forem excluídos na conta AWS ou GCP conectada.

Permitir exportação contínua para os Hubs de Eventos protegidos por um firewall

Agora você pode habilitar a exportação contínua de alertas e recomendações, como um serviço confiável para os Hubs de Eventos protegidos por um firewall do Azure.

Você pode habilitar a exportação contínua, à medida que as recomendações ou os alertas são gerados. Você também pode definir um agendamento para enviar instantâneos periódicos de todos os novos dados.

Saiba como habilitar a exportação contínua para os Hubs de Eventos protegidos por um firewall do Azure.

O nome do controle de classificação de segurança Proteger os aplicativos com soluções de rede avançadas do Azure foi alterado

O controle de pontuação de segurança, Protect your applications with Azure advanced networking solutions foi alterado para Protect applications against DDoS attacks.

O nome atualizado é refletido no ARG (Azure Resource Graph), na API de Controles de Classificação de Segurança e no Download CSV report.

A política As configurações de Avaliação de Vulnerabilidade do SQL Server devem conter um endereço de email para receber os relatórios de exame foi preterida

A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.

O relatório de email de avaliação de vulnerabilidades do Defender para SQL ainda está disponível e as configurações de email existentes não foram alteradas.

A recomendação para habilitar logs de diagnóstico para os Conjuntos de Dimensionamento de Máquinas Virtuais foi preterida

A recomendação Diagnostic logs in Virtual Machine Scale Sets should be enabled foi preterida.

A definição de política relacionada também foi preterida de todos os padrões exibidos no painel de conformidade regulatória.

Recomendação Descrição Severidade
Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados Habilite os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou quando a rede é comprometida. Baixo

Dezembro de 2022

As atualizações de dezembro incluem:

Anunciar a configuração expressa para avaliação de vulnerabilidade no Defender para SQL

A configuração expressa para avaliação de vulnerabilidade no Microsoft Defender para SQL fornece às equipes de segurança uma experiência de configuração simplificada em bancos de dados SQL do Azure e pools de SQL dedicados fora dos workspaces do Synapse.

Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:

  • Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
  • Adicione imediatamente os resultados da verificação às linhas de base para que o status da descoberta mude de Não Íntegro para Íntegro sem verificar novamente um banco de dados.
  • Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
  • Habilite a avaliação de vulnerabilidade para todos os servidores SQL do Azure ao ativar o Microsoft Defender para bancos de dados no nível da assinatura.

Saiba mais sobre Avaliação de vulnerabilidade do Defender para SQL.

Novembro de 2022

As atualizações de novembro incluem:

Proteger contêineres em toda a organização do GCP com o Microsoft Defender para Contêineres

Agora você pode habilitar o Defender para Contêineres para seu ambiente do GCP para proteger clusters GKE padrão em toda uma organização do GCP. Basta criar um conector do GCP com o Microsoft Defender para Contêineres habilitado ou habilitar o Microsoft Defender para Contêineres em um conector do GCP existente em nível de organização.

Saiba mais sobre como conectar projetos e organizações do GCP ao Defender para Nuvem.

Validar proteções do Defender para Contêineres com alertas de exemplo

Agora você pode criar alertas de exemplo também para o plano do Defender para Contêineres. Os novos alertas de exemplo são apresentados como sendo do AKS, clusters conectados ao Arc, recursos EKS e GKE com diferentes severidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alerta de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.

Saiba mais sobre os validação de alerta.

Regras de governança em escala (versão prévia)

Estamos felizes em anunciar a nova capacidade de aplicar regras de governança em escala (versão prévia) no Defender para Nuvem.

Com essa nova experiência, as equipes de segurança podem definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipes de segurança podem realizar essa tarefa usando escopos de gerenciamento, como grupos de gerenciamento do Azure, contas de nível superior AWS ou organizações GCP.

Além disso, a página Regras de governança (versão prévia) apresenta todas as regras de governança disponíveis que são efetivas nos ambientes da organização.

Saiba mais sobre as novas regras de governança em escala.

Observação

A partir de 1º de janeiro de 2023, para experimentar os recursos oferecidos pela Governança, você precisa ter o plano de GPSN do Defender habilitado em sua assinatura ou conector.

A capacidade de criar avaliações personalizadas na AWS e no GCP (Versão prévia) foi preterida

A habilidade de criar avaliações personalizadas para contas da AWS e projetos do GCP, que era uma versão prévia do recurso, foi preterida.

A recomendação para configurar filas de mensagens mortas para funções Lambda foi preterida

A recomendação Lambda functions should have a dead-letter queue configured foi preterida.

Recomendação Descrição Severidade
As funções Lambda devem ter uma fila de mensagens mortas configurada Esse controle verifica se uma função Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar a função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas atua da mesma forma que um destino em caso de falha. É usada quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você veja erros ou solicitações com falha para que a função Lambda depure ou identifique comportamentos incomuns. Do ponto de vista de segurança, é importante entender por que a função falhou e garantir que a função não remova dados nem comprometa a segurança dos dados consequentemente. Por exemplo, se a função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de DoS (Negação de Serviço) em outro lugar na rede. Médio

Outubro de 2022

As atualizações de outubro incluem:

Anúncio do Microsoft Cloud Security Benchmark

O MCSB (Microsoft Cloud Security Benchmark) é uma nova estrutura que define princípios fundamentais de segurança da nuvem com base em padrões comuns da indústria e em estruturas de conformidade. Junto com diretrizes técnicas detalhadas para implementar essas melhores práticas entre plataformas de nuvem. O MCSB está substituindo o Azure Security Benchmark. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança independentes da nuvem em várias plataformas de serviço de nuvem, abrangendo inicialmente o Azure e o AWS.

Agora você pode monitorar sua postura de conformidade de segurança na nuvem em cada nuvem em um único painel integrado. Você pode ver o MCSB como o padrão de conformidade padrão quando navega até o painel de conformidade regulatória do Defender para Nuvem.

O Microsoft Cloud Security Benchmark é atribuído automaticamente às suas assinaturas do Azure e às contas do AWS quando você integra o Microsoft Defender para Nuvem.

Saiba mais sobre o Microsoft Cloud Security Benchmark.

Análise de caminho de ataque e recursos de segurança contextual no Defender para Nuvem (versão prévia)

O novo Grafo de segurança da nuvem, a Análise do caminho de ataque e recursos de segurança de nuvem contextual já estão disponíveis no Microsoft Defender para Nuvem em versão prévia.

Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que encontram diariamente. Há inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolver todos eles.

Os novos recursos de análise de caminho de ataque e do grafo de segurança de nuvem do Defender para Nuvem oferecem às equipes de segurança a capacidade de avaliar o risco por trás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisarão ser resolvidos em breve. O Defender para Nuvem trabalha com equipes de segurança para reduzir o risco de uma violação impactante no seu ambiente da maneira mais eficaz.

Saiba mais sobre o novo Grafo de Segurança da Nuvem, Análise do caminho de ataque e Cloud Security Explorer.

Verificação sem agente para computadores do Azure e do AWS (versão prévia)

Até agora, o Defender para Nuvem baseou suas avaliações de postura de VMs em soluções baseadas em agente. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs em modo de versão prévia.

Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre CVEs de software e produtos de software instalados. Você obtém a visibilidade sem os desafios de instalação e manutenção do agente, requisitos de conectividade de rede e desempenho afetado nas suas cargas de trabalho. A análise é alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender.

O exame de vulnerabilidade sem agente está disponível tanto no CSPM (Gerenciamento da Postura de Segurança na Nuvem) do Defender quanto no Defender para servidores P2, com suporte nativo para VMs da AWS e do Azure.

Defender para DevOps (versão prévia)

O Microsoft Defender para Nuvem habilita a visibilidade abrangente, o gerenciamento de postura e a proteção contra ameaças em ambientes híbridos e multinuvem, incluindo os recursos do Azure, AWS, Google e locais.

Agora, o novo plano Defender para DevOps integra sistemas de gerenciamento de código-fonte, como o GitHub e o Azure DevOps, ao Defender para Nuvem. Com essa nova integração, estamos capacitando as equipes de segurança a proteger seus recursos do código até a nuvem.

O Defender para DevOps permite que você tenha visibilidade e gerencie ambientes de desenvolvedor conectados e recursos de código. Atualmente, você pode conectar os sistemas Azure DevOps e GitHub ao Defender para Nuvem e integrar repositórios de DevOps ao Inventário e à nova página de Segurança de DevOps. Isso fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem dentro deles em uma página unificada de Segurança de DevOps.

Você pode configurar anotações em solicitações de pull para ajudar os desenvolvedores a lidar com descobertas de verificação de segredos no Azure DevOps diretamente em suas solicitações de pull.

Você pode configurar as ferramentas de DevOps de Segurança da Microsoft em Pipelines do Azure e fluxos de trabalho do GitHub para habilitar as seguintes verificações de segurança:

Nome Idioma Licença
Bandit Python Licença do Apache 2.0
BinSkim Binário – Windows, ELF Licença MIT
ESlint JavaScript Licença MIT
CredScan (somente Azure DevOps) O Verificador de Credenciais (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida pela Microsoft para identificar vazamentos de credenciais, como aqueles nos tipos comuns de código-fonte e arquivos de configuração: senhas padrão, cadeias de conexão SQL, Certificados com chaves privadas Sem código aberto
Análise de Modelo Modelo do ARM, arquivo Bicep Licença MIT
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Licença do Apache 2.0
Trivy Imagens de contêiner, sistemas de arquivos, repositórios git Licença do Apache 2.0

As novas recomendações abaixo agora estão disponíveis para o DevOps:

Recomendação Descrição Severidade
(Versão prévia) As conclusões da verificação de código dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) Médio
(Versão prévia) As conclusões de verificação de segredo dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou um segredo nos repositórios de código.  Isso deve ser corrigido imediatamente para evitar uma violação de segurança.  Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para o Azure DevOps, a ferramenta CredScan do Microsoft Security DevOps verifica apenas builds nos quais ela foi configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios. (Não há política relacionada) Alto
(Versão prévia) As conclusões de verificação do Dependabot dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) Médio
(Versão prévia) As conclusões de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas (Versão prévia) As descobertas de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas Médio
(Versão prévia) A verificação de código deve ser habilitada nos repositórios do GitHub O GitHub usa a verificação de código para analisar o código para encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código localiza uma possível vulnerabilidade ou um possível erro no código, o GitHub mostra um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto. (Não há política relacionada) Médio
(Versão prévia) A verificação de segredos deve ser habilitada nos repositórios do GitHub O GitHub examina repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram confirmados acidentalmente. A verificação de segredos examina automaticamente todo o histórico do Git em todos os branches presentes no seu repositório do GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Não há política relacionada) Alto
(Versão prévia) A verificação do Dependabot deve ser habilitada nos repositórios do GitHub O GitHub envia alertas do Dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Não há política relacionada) Médio

As recomendações do Defender para DevOps substituíram o exame de vulnerabilidade preterido para fluxos de trabalho de CI/CD incluído no Defender para contêineres.

Saiba mais sobre o Defender para DevOps

O painel de Conformidade Regulatória agora dá suporte a gerenciamento de controle manual e informações detalhadas no status de conformidade da Microsoft

O painel de conformidade no Defender para Nuvem é uma ferramenta fundamental para que os clientes entendam e acompanhem seu status de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de vários padrões e regulamentos diferentes.

Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e os outros. Você pode fornecer provas de conformidade para controles que não são automatizados. Junto com as avaliações automatizadas, agora você pode gerar um relatório completo de conformidade dentro de um escopo selecionado, abordando todo o conjunto de controles de determinado padrão.

Além disso, com informações de controle mais avançada, detalhes minuciosos e provas do status de conformidade da Microsoft, agora você tem todas as informações necessárias para auditoria ao seu alcance.

Alguns novos benefícios incluem:

  • Ações de cliente manuais fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Inclusive a capacidade de vincular provas, definir uma data de conformidade e uma data de validade.

  • Detalhes mais avançados do controle para padrões compatíveis que demonstram ações da Microsoft e ações manuais do cliente além das ações do cliente automatizadas existentes.

  • As ações da Microsoft fornecem transparência sobre o status de conformidade da Microsoft, que inclui procedimentos de avaliação de auditoria, resultados de teste e respostas da Microsoft a desvios.

  • Ofertas de conformidade fornecem um local centralizado para verificar produtos do Azure, do Dynamics 365 e da Power Platform e suas respectivas certificações de conformidade.

Saiba mais sobre como Melhorar a conformidade regulatória com o Defender para Nuvem.

O provisionamento automático foi renomeado para Configurações e monitoramento e tem uma experiência atualizada

Renomeamos a página Autoprovisionamento para Configurações e monitoramento.

O provisionamento automático destinava-se a permitir a habilitação em escala de pré-requisitos, que são exigidos pelas funcionalidades e pelos recursos avançados do Defender para Nuvem. Para oferecer melhor suporte às nossas funcionalidades expandidas, estamos lançando uma nova experiência com as seguintes alterações:

A página de planos do Defender para Nuvem agora inclui:

  • Quando você habilita um plano do Defender que requer componentes de monitoramento, esses componentes são habilitados para provisionamento automático com configurações padrão. Essas configurações podem ser editadas a qualquer momento.
  • Você pode acessar as configurações de componente de monitoramento para cada plano do Defender na página de planos do Defender.
  • A página de planos do Defender indica claramente se todos os componentes de monitoramento estão presentes em cada plano do Defender ou se a cobertura de monitoramento está incompleta.

A página Configurações e monitoramento:

  • Cada componente de monitoramento indica os planos do Defender aos quais ele está relacionado.

Saiba mais sobre como gerenciar suas configurações de monitoramento.

CSPM (Gerenciamento de Postura e Segurança na Nuvem) do Defender

Um dos principais pilares do Microsoft Defender para a segurança na nuvem é o CSPM (Gerenciamento da Postura de Segurança na Nuvem). O GPSN fornece diretrizes de proteção que ajudam você a melhorar a segurança de forma eficiente e eficaz. O GPSN também oferece visibilidade sobre a situação de segurança atual.

Estamos anunciando um novo plano do Defender: o GPSN do Defender. O CSPM (Gerenciamento da Postura de Segurança na Nuvem) do Defender aprimora os recursos de segurança do Defender para Nuvem e inclui os seguintes recursos novos e expandidos:

  • Avaliação contínua da configuração de segurança de seus recursos de nuvem
  • Recomendações de segurança para corrigir configurações incorretas e fraquezas
  • Classificação de segurança
  • Governança
  • Conformidade normativa
  • Grafo de segurança da nuvem
  • Análise do caminho de ataque
  • Verificação sem agente para computadores

Saiba mais sobre o plano GPSN do Defender.

O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP

Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas com eficiência.

O Defender para Nuvem facilita a priorização mapeando as recomendações de segurança do Azure, AWS e GCP em relação à estrutura MITRE ATT&CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.

A estrutura MITRE ATT&CK é integrada de três maneiras:

  • As recomendações mapeiam as táticas e técnicas do MITRE ATT&CK.
  • Consulte táticas e técnicas do MITRE ATT&CK em recomendações usando o Azure Resource Graph.

Captura de tela que mostra onde o ataque MITRE reside no portal do Azure.

O Defender para Contêineres agora dá suporte à verificação de vulnerabilidade para o Registro de Contêiner Elástico (versão prévia)

O Microsoft Defender para Contêineres agora fornece verificação de avaliação de vulnerabilidade sem agente para o ECR (Registro de Contêiner Elástico) no Amazon AWS. Expandindo a cobertura para ambientes de várias nuvens, com base no lançamento no início deste ano da proteção avançada contra ameaças e do fortalecimento do ambiente do Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos do AWS em suas contas para verificar as imagens sem extrair imagens de suas contas do AWS e sem nenhum volume na carga de trabalho.

A verificação de avaliação de vulnerabilidades sem agente em busca de imagens em repositórios do ECR ajuda a reduzir a superfície de ataque de sua propriedade conteinerizada examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêiner. Com essa nova versão, o Defender para Nuvem verifica as imagens de contêiner depois que elas são enviadas por push para o repositório e reavaliam continuamente as imagens de contêiner do ECR no registro. As descobertas ficam disponíveis no Microsoft Defender para Cloud como recomendações e você pode usar os fluxos de trabalho automatizados internos do Defender para Nuvem a fim de tomar medidas em relação às descobertas, como abrir um tíquete para corrigir uma vulnerabilidade de alta gravidade em uma imagem.

Saiba mais sobre avaliação de vulnerabilidade para imagens do ECR da Amazon.

Setembro de 2022

As atualizações de setembro incluem:

Suprimir alertas com base em entidades de contêiner e do Kubernetes

  • Namespace do Kubernetes
  • Pod do Kubernetes
  • Segredo do Kubernetes
  • ServiceAccount do Kubernetes
  • ReplicaSet do Kubernetes
  • StatefulSet do Kubernetes
  • DaemonSet do Kubernetes
  • Trabalho do Kubernetes
  • CronJob do Kubernetes

Saiba mais sobre as regras de supressão de alertas.

O Defender para Servidores dá suporte ao Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor

O FIM (monitoramento de integridade de arquivo) examina Registros e arquivos de sistemas operacionais para encontrar alterações que possam indicar um ataque.

O FIM agora está disponível em uma nova versão com base no AMA (Agente do Azure Monitor), que você pode implantar por meio do Defender para Nuvem.

Substituição de APIs de avaliação herdada

As seguintes APIs foram preteridas:

  • Tarefas de segurança
  • Status de Segurança
  • Resumos de segurança

Essas três APIs expuseram formatos antigos de avaliações e foram substituídas pelas APIs de Assessments e APIs de SubAssessments. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.

Recomendações extras adicionadas à identidade

Recomendações do Defender para Nuvem para aprimorar o gerenciamento de usuários e contas.

Novas recomendações

A nova versão contém as seguintes funcionalidades:

  • Escopo de avaliação estendido – A cobertura foi aprimorada para contas de identidade sem MFA e contas externas nos recursos do Azure (em vez de apenas assinaturas), o que permite que os administradores de segurança vejam as atribuições de função por conta.

  • Intervalo de atualização aprimorado – as recomendações de identidade têm um intervalo de atualização de 12 horas.

  • Funcionalidade de isenção da conta – o Defender para Nuvem tem muitos recursos que podem ser usados para personalizar a experiência e garantir que a classificação de segurança reflita as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações da classificação de segurança.

    Essa atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.

    Normalmente, você isentaria contas de emergência das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso e que não têm a MFA habilitada.

    Dica

    Quando você isenta uma conta, ela não é mostrada como não íntegra. Isso também não faz com que uma assinatura pareça não íntegra.

    Recomendação Chave de avaliação
    Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA 6240402e-f77c-46fa-9060-a7ce53997754
    Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a
    As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas 050ac097-3dda-4d24-ab6d-82568e7a50cf
    As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

As recomendações, embora em versão prévia, aparecerão ao lado das recomendações que estão atualmente em GA.

Remoção de alertas de segurança para computadores que estão relatando a workspaces do Log Analytics entre locatários

No passado, o Defender para Nuvem permitia que você escolhesse o workspace ao qual os agentes do Log Analytics relatam. Quando um computador pertencia a um locatário (Locatário A), mas seu agente do Log Analytics se reportava a um workspace em um locatário diferente ("Locatário B"), os alertas de segurança sobre o computador eram relatados ao primeiro locatário (Locatário A).

Com essa alteração, os alertas em computadores conectados ao workspace do Log Analytics em um locatário diferente não aparecem mais no Defender para Nuvem.

Se você quiser continuar recebendo os alertas no Defender para Nuvem, conecte o agente do Log Analytics dos computadores relevantes ao workspace no mesmo locatário que o computador.

Saiba mais sobre alertas de segurança.

Agosto de 2022

As atualizações de agosto incluem:

As vulnerabilidades para executar imagens agora estão visíveis com o Microsoft Defender para contêineres em seus contêineres do Windows

O Microsoft Defender para contêineres agora mostra vulnerabilidades para execução de contêineres do Windows.

Quando as vulnerabilidades são detectadas, o Defender para Nuvem gera a recomendação de segurança a seguir,listando os problemas detectados: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.

Saiba mais sobre como exibir vulnerabilidades para execução de imagens.

Integração do Agente do Azure Monitor agora em versão prévia

O Defender para Nuvem agora inclui suporte de versão prévia para o AMA (Agente do Azure Monitor). A AMA destina-se a substituir o agente herdado do Log Analytics (também conhecido como MMA – Microsoft Monitoring Agent), que está em um caminho para a substituição. O AMA oferece muitas vantagens em relação a agentes herdados.

No Defender para Nuvem, quando você habilita o provisionamento automático para AMA, o agente é implantado em VMs existentes e novas e computadores habilitados para o Azure Arc detectados em suas assinaturas. Se os planos do Defender para Nuvem estiverem habilitados, a AMA coletará informações de configuração e logs de eventos de VMs do Azure e computadores Azure Arc. A integração do AMA está na versão prévia, portanto, recomendamos usá-la em ambientes de teste em vez de em ambientes de produção.

A seguinte tabela lista os alertas que foram preteridos:

Nome do alerta Descrição Táticas Severidade
Operação de build do Docker detectada em um nó do Kubernetes
(VM_ImageBuildOnNode)
Os logs de computador indicam uma operação de build de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção. Evasão de defesa Baixo
Solicitação suspeita para API do Kubernetes
(VM_KubernetesAPI)
Os logs do computador indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido. LateralMovement Médio
O servidor SSH está em execução dentro de um contêiner
(VM_ContainerSSH)
Os logs do computador indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora o comportamento possa ser intencional, com frequência indica que um contêiner está configurado incorretamente ou foi violado. Execução Médio

Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas de contêiner do Microsoft Defender para Nuvem (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPIeK8S.NODE_ ContainerSSH), que fornecerão maior fidelidade e um contexto abrangente para investigar e agir com base nos alertas. Saiba mais sobre alertas para Clusters do Kubernetes.

As vulnerabilidades do contêiner agora incluem informações detalhadas do pacote

A VA (avaliação de vulnerabilidades) do Defender para Contêiner agora inclui informações detalhadas do pacote para cada conclusão, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão fixa. As informações do pacote permitem encontrar pacotes vulneráveis para corrigir a vulnerabilidade ou remover o pacote.

Essas informações detalhadas do pacote estão disponíveis para novas verificações de imagens.

Captura de tela das informações de pacote com as vulnerabilidades do contêiner.

Julho de 2022

As atualizações de julho incluem:

GA (disponibilidade geral) do agente de segurança nativo de nuvem para proteção de runtime do Kubernetes

Estamos felizes em compartilhar que o agente de segurança nativo de nuvem para proteção de runtime do Kubernetes já está em GA (disponibilidade geral).

As implantações de produção dos clusters do Kubernetes continuam aumentando, à medida que os clientes continuam a conteinerização dos aplicativos. Para auxiliar nesse crescimento, a equipe do Defender para Contêineres desenvolveu um agente de segurança orientado para Kubernetes nativo de nuvem.

O novo agente de segurança é um DaemonSet do Kubernetes, baseado na tecnologia eBPF e totalmente integrado aos clusters do AKS como parte do Perfil de Segurança do AKS.

A habilitação do agente de segurança está disponível por meio de provisionamento automático, fluxo de recomendações, RP do AKS ou em escala usando o Azure Policy.

Você pode implantar o agente do Defender hoje mesmo nos clusters do AKS.

Com este anúncio, a proteção de runtime – detecção de ameaças (carga de trabalho) também já está em disponibilidade geral.

Saiba mais sobre a disponibilidade de recursos do Defender para Contêiner.

Você também pode examinar todos os alertas disponíveis.

Observe que, se você estiver usando a versão prévia, o sinalizador de recursos AKS-AzureDefender não será mais necessário.

A VA do Defender para Contêiner adiciona suporte para a detecção de pacotes específicos do idioma (versão prévia)

A VA (avaliação de vulnerabilidade) do Defender para Contêiner é capaz de detectar vulnerabilidades em pacotes do sistema operacional implantados por meio do gerenciador de pacotes do sistema operacional. Agora, estendemos as habilidades da VA para detectar vulnerabilidades incluídas em pacotes específicos do idioma.

Esse recurso está em versão prévia e só está disponível para imagens do Linux.

Para ver todos os pacotes específicos do idioma incluído que foram adicionados, confira a lista completa de recursos e sua disponibilidade do Defender para Contêiner.

Proteger contra a vulnerabilidade do Microsoft Operations Management Infrastructure CVE-2022-29149

O OMI (Microsoft Operations Management Infrastructure) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e na nuvem a partir de um único local. Em vez de implantar e gerenciar recursos locais, os componentes do OMI estão totalmente hospedados no Azure.

O Log Analytics integrado ao Azure HDInsight que executa o OMI versão 13 requer um patch para corrigir o CVE-2022-29149. Examine o relatório sobre essa vulnerabilidade no guia de Atualização de Segurança da Microsoft para obter informações sobre como identificar os recursos afetados por essas etapas de vulnerabilidade e correção.

Se você tiver o Defender para Servidores habilitado com a Avaliação de Vulnerabilidades, poderá usar essa pasta de trabalho para identificar os recursos afetados.

Integração com o Gerenciamento de Permissões do Entra

O Defender para Nuvem integrou-se ao Gerenciamento de Permissões do Microsoft Entra, uma solução CIEM (gerenciamento de direitos de infraestrutura de nuvem) que fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso no Azure, AWS e GCP.

Cada assinatura do Azure, a conta do AWS e o projeto do GCP que você integrou agora mostrarão uma exibição do PCI (Índice de fluência de permissão).

Saiba mais sobre o Gerenciamento de Permissões do Entra (anteriormente Cloudknox)

Recomendações do Key Vault alteradas para "auditoria"

O efeito das recomendações do Key Vault listadas aqui foi alterado para “auditoria”:

Nome da recomendação ID de recomendação
O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses fc84abc0-eee6-4758-8372-a7681965ca44
Os segredos do Key Vault devem ter uma data de validade 14257785-9437-97fa-11ae-898cfb24302b
As chaves do Key Vault devem ter uma data de validade 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Preterir políticas de aplicativo de API para o Serviço de Aplicativo

Preterimos as seguintes políticas às políticas correspondentes que já existem para incluir aplicativos de API:

A ser preterida Passará a ser
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Junho de 2022

As atualizações de junho incluem:

GA (disponibilidade geral) para o Microsoft Defender para Azure Cosmos DB

O Microsoft Defender para Azure Cosmos DB agora está em GA (disponibilidade geral) e dá suporte a tipos de conta de API do SQL (Core).

Esta nova versão para GA faz parte do conjunto de proteção de banco de dados Microsoft Defender para Nuvem, que inclui diferentes tipos de bancos de dados SQL e MariaDB. O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB.

Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, atores mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações do banco de dados por meio de identidades comprometidas ou pessoas mal-intencionadas.

Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas fornecem detalhes sobre atividades suspeitas, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.

O Microsoft Defender para Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços do Azure Cosmos DB e faz o cruzamento deles com o Microsoft Threat Intelligence e modelos comportamentais para detectar atividades suspeitas. O Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito sobre o desempenho do seu banco de dados.

Saiba mais sobre o Microsoft Defender para Azure Cosmos DB.

Com a adição de suporte para o Azure Cosmos DB, o Defender para Nuvem agora fornece uma das ofertas mais abrangentes de proteção de cargas de trabalho para bancos de dados baseados em nuvem. As equipes de segurança e os proprietários de banco de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados dos ambientes deles.

Saiba como habilitar proteções para seus bancos de dados.

GA (disponibilidade geral) do Defender para SQL em computadores para ambientes AWS e GCP

Os recursos de proteção de banco de dados fornecidos pelo Microsoft Defender para Nuvem adicionaram suporte para seus servidores SQL hospedados em ambientes AWS ou GCP.

Agora, usando o Defender para SQL, as empresas podem proteger todo o próprio acervo de bancos de dados, hospedado no Azure, no AWS, no GCP e em computadores locais.

O Microsoft Defender para SQL fornece uma experiência multinuvem unificada para exibir recomendações de segurança, alertas de segurança e resultados de avaliação de vulnerabilidade tanto para o servidor SQL quanto para o sistema operacional Windows subjacente.

Usando a experiência de integração de várias nuvens, você pode habilitar e impor a proteção de bancos de dados para servidores SQL em execução no AWS EC2, RDS personalizado para SQL Server e mecanismo de computação GCP. Após você habilitar qualquer um desses planos, todos os recursos compatíveis existentes na assinatura são protegidos. Recursos futuros criados na mesma assinatura também serão protegidos.

Saiba como proteger e conectar seu ambiente de AWS e sua organização de GCP com o Microsoft Defender para Nuvem.

Impulsionar a implementação de recomendações de segurança para aprimorar sua postura de segurança

As ameaças crescentes de hoje às organizações desafiam os limites da equipe de segurança para proteger as próprias cargas de trabalho em expansão. As equipes de segurança são desafiadas a implementar as proteções definidas nas próprias políticas de segurança.

Agora, com a experiência de governança em versão prévia, as equipes de segurança podem atribuir a correção de recomendações de segurança aos proprietários de recursos e exigir um agendamento de correção. Eles podem ter total transparência sobre o andamento da correção e ser notificados quando as tarefas estão atrasadas.

Saiba mais sobre a experiência de governança em Estimular a sua organização a corrigir problemas de segurança com governança de recomendações.

Filtrar alertas de segurança por endereço IP

Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção “Entidades Relacionadas” no painel de alerta único. Agora, você pode filtrar os alertas no painel de alertas de segurança para ver os alertas relacionados ao endereço IP e pesquisar um endereço IP específico.

Captura de tela do filtro para endereço IP nos alertas do Defender para Nuvem.

Alertas por grupo de recursos

A capacidade de filtrar, classificar e agrupar por grupo de recursos foi adicionada à página Alertas de segurança.

Uma coluna de grupo de recursos foi adicionada à grade de alertas.

Captura de tela da coluna do grupo de recursos recém-adicionada.

Foi adicionado um novo filtro que permite exibir todos os alertas para grupos de recursos específicos.

Captura de tela que mostra o novo filtro do grupo de recursos.

Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas para cada um dos seus grupos de recursos.

Captura de tela que mostra como exibir os alertas quando eles estão em um grupo de recursos.

Solução unificada de provisionamento automático do Microsoft Defender para Ponto de Extremidade

Até agora, a integração com o MDE (Microsoft Defender para Ponto de Extremidade) incluía a instalação automática da nova solução unificada do MDE para computadores (assinaturas do Azure e conectores multinuvem) com o Plano 1 do Defender para Servidores habilitado e para conectores multinuvem com o Plano 2 do Defender para Servidores habilitado. O plano 2 para assinaturas do Azure habilitou a solução unificada apenas para computadores Linux e servidores Windows 2019 e 2022. Servidores Windows 2012 R2 e 2016 usaram a solução herdada do MDE dependente do agente do Log Analytics.

Agora, a nova solução unificada está disponível para todos os computadores em ambos os planos, tanto para assinaturas do Azure quanto para conectores multinuvem. Para assinaturas do Azure com o Plano 2 dos Servidores que habilitaram a integração do MDE após 20 de junho de 2022, a solução unificada está habilitada por padrão para todos os computadores. As assinaturas do Azure com o Plano 2 do Defender para servidores habilitado com a integração do MDE antes de 20 de junho de 2022 agora podem habilitar a instalação de solução unificada para servidores Windows 2012 R2 e 2016 por meio do botão dedicado na página Integrações:

Saiba mais sobre a integração do MDE com o Defender para Servidores.

A política "O aplicativo de API só deve estar acessível por HTTPS" foi preterida

A política API App should only be accessible over HTTPS foi preterida. Essa política foi substituída pela política Web Application should only be accessible over HTTPS, que foi renomeada para App Service apps should only be accessible over HTTPS.

Para saber mais sobre definições de política para o Serviço de Aplicativo do Azure, consulte Definições internas do Azure Policy para o Serviço de Aplicativo do Azure.

Novos alertas do Key Vault

Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Key Vault, adicionamos dois novos alertas.

Esses alertas informam que uma anomalia de acesso negado foi detectada para um dos cofres de chaves.

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado
(KV_DeniedAccountVolumeAnomaly)
Um usuário ou entidade de serviço tentou acessar um número anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. Descoberta Baixo
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Acesso inicial, Descoberta Baixo

Maio de 2022

As atualizações de maio incluem:

As configurações multinuvem do plano para Servidores agora estão disponíveis no nível do conector

Agora há configurações em nível de conector para o Defender para Servidores multinuvem.

As novas configurações em nível de conector fornecem granularidade para preços e configuração de provisionamento automático por conector, independentemente da assinatura.

Todos os componentes de provisionamento automático disponíveis em nível de conector (Azure Arc, MDPE e avaliações de vulnerabilidade) são habilitados por padrão, e a nova configuração dá suporte aos tipos de preço Plano 1 e Plano 2.

As atualizações na interface do usuário incluem um reflexo do tipo de preço selecionado e dos componentes necessários configurados.

Captura de tela da página do plano principal com as configurações de multicloud do plano do servidor.

Captura de tela da página de provisionamento automático com o conector multicloud habilitado.

Alterações na avaliação de vulnerabilidade

Agora, o Defender para Contêineres mostra vulnerabilidades com gravidade de nível médio e baixo que não permitem a aplicação de patches.

Como parte dessa atualização, as vulnerabilidades que tenham gravidades médias e baixas agora são mostradas mesmo que não existam patches disponíveis. Essa atualização fornece visibilidade máxima, mas ainda permite que você filtre vulnerabilidades indesejadas usando a regra Desabilitar fornecida.

Captura de tela da opção Desabilitar regra.

Saiba mais sobre o gerenciamento de vulnerabilidades

O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)

Quando você conecta contas do AWS, o JIT avaliará automaticamente a configuração de rede dos grupos de segurança da instância e recomendará quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com o Azure. Quando você integra instâncias EC2 desprotegidas, o JIT bloqueará o acesso público às portas de gerenciamento e só as abrirá com solicitações autorizadas por um período limitado.

Saiba como o JIT protege suas instâncias EC2 do AWS

Adicionar e remover o sensor do Defender para clusters do AKS usando a CLI

O agente do Defender é necessário para que o Defender para contêineres forneça as proteções de runtime e colete sinais dos nós. Agora você pode usar a CLI do Azure para adicionar e remover o agente do Defender para um cluster do AKS.

Observação

Essa opção está incluída na CLI do Azure 3.7 e superior.

Abril de 2022

As atualizações de abril incluem:

Novos planos do Defender para servidores

O Microsoft Defender para Servidores agora é oferecido em dois planos incrementais:

  • Plano 2 do Defender para Servidores, antigo Defender para Servidores
  • Plano 1 do Defender para Servidores, dá suporte apenas ao Microsoft Defender para Ponto de Extremidade

Enquanto o Plano 2 do Defender para Servidores continua a fornecer proteções contra ameaças e vulnerabilidades às cargas de trabalho locais e na nuvem, o Plano 1 do Defender para Servidores oferece somente proteção de ponto de extremidade por meio do Defender para Ponto de Extremidade integrado nativamente. Leia mais sobre os planos do Defender para servidores.

Se você estiver usando o Defender para Servidores até agora, nenhuma ação será necessária.

Além disso, Defender para Nuvem também inicia compatibilidade gradual para o agente unificado do Defender para Ponto de Extremidade para Windows Server 2012 R2 e 2016. O Plano 1 do Defender para Servidores implanta o novo agente unificado em cargas de trabalho de Windows Server 2012 R2 e 2016.

Realocação de recomendações personalizadas

Recomendações personalizadas são aquelas criadas por usuários e que não afetam a classificação de segurança. As recomendações personalizadas agora podem ser encontradas na guia “Todas as recomendações”.

Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.

Saiba mais em Criar iniciativas e políticas de segurança personalizadas.

Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar

Recomendamos usar o Hubs de Eventos e um conector interno para exportar alertas de segurança para Splunk e IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.

Basta baixar e executar o script do PowerShell. Depois que você fornece algumas informações do seu ambiente, o script configura os recursos. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.

Para saber mais, confira os alertas do Stream para Splunk e QRadar.

Preterido a recomendação de Cache do Azure para Redis

A recomendação Azure Cache for Redis should reside within a virtual network (Versão prévia) foi preterida. Alteramos nossas diretrizes para proteger instâncias do Cache do Azure para Redis. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância de Cache do Azure para Redis, em vez de uma rede virtual.

Nova variante de alerta do Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais

Os alertas do Microsoft Defender para Armazenamento notificam quando há tentativas de verificar e expor, com êxito ou não, contêineres de armazenamento abertos publicamente e mal configurados para tentar filtrar informações confidenciais.

Para permitir um tempo menor de triagem e resposta, quando houver possibilidade de ocorrência de filtração de dados potencialmente confidenciais, lançamos uma nova variação para o alerta Publicly accessible storage containers have been exposed existente.

O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é disparado com um nível de severidade High, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles poderiam conter informações confidenciais.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
VERSÃO PRÉVIA – Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Alguém examinou sua conta do Armazenamento do Azure e expôs contêineres que permitem o acesso público. Um ou mais contêineres expostos têm nomes que indicam que podem conter dados confidenciais.

Isso geralmente indica o reconhecimento por um autor de ameaça que está verificando contêineres de armazenamento acessíveis publicamente configurados incorretamente que podem conter dados confidenciais.

Depois que um autor de ameaça descobrir um contêiner, ele poderá continuar filtrando os dados.
✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Alta

Título do alerta de verificação de contêiner aumentado com reputação de endereço IP

A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um autor de ameaça conhecido ou de um que está usando a rede Tor para ocultar a identidade. Ambos os indicadores sugerem que há má intenções. A reputação do endereço IP é fornecida pela Inteligência contra Ameaças da Microsoft.

A adição da reputação do endereço IP ao título do alerta oferece uma maneira de avaliar rapidamente a intenção do autor e, portanto, a gravidade da ameaça.

Os seguintes alertas incluirão essas informações:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Por exemplo, as informações adicionadas ao título do alerta Publicly accessible storage containers have been exposed serão parecidas com estas:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Todos os alertas para o Microsoft Defender para Armazenamento continuarão a incluir informações de inteligência contra ameaças na entidade IP na seção Entidades Relacionadas do alerta.

Confira os logs de atividades relacionados a um alerta de segurança

Como parte das ações que podem ser executadas para avaliar um alerta de segurança, você pode encontrar os logs de plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender para Nuvem identifica os logs de plataforma que estão no prazo de um dia do alerta.

Os logs de plataforma podem ajudar a avaliar a ameaça à segurança e identificar as etapas que você pode executar para atenuar o risco identificado.

Março de 2022

As atualizações de março incluem:

Disponibilidade global de classificação de segurança para ambientes AWS e GCP

Os recursos de gerenciamento de postura de segurança de nuvem oferecidos pelo Microsoft Defender para Nuvem agora adicionaram compatibilidade para ambientes AWS e GCP na sua Pontuação Segura.

As empresas agora podem exibir a postura de segurança geral em vários ambientes, como Azure, AWS e GCP.

A página Pontuação Segura foi substituída pelo painel Postura de segurança. O painel de postura de segurança permite exibir uma pontuação combinada geral para todos os seus ambientes ou um detalhamento da postura de segurança com base em qualquer combinação de ambientes que você escolher.

A página Recomendações também foi reprojetada para fornecer novos recursos, como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta do AWS, projeto GCP e muito mais), interface do usuário aprimorada em baixa resolução, compatibilidade com consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura de segurança geral e as recomendações de segurança.

Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede

As alterações em nosso roteiro e em nossas prioridades removeram a necessidade do agente de coleta de dados de tráfego de rede. As duas recomendações a seguir e as políticas relacionadas serão preteridas.

Recomendação Descrição Severidade
O agente de coleta de dados do tráfego de rede deve ser instalado nas máquinas virtuais do Linux O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. Médio
O agente de coleta dos dados de tráfego de rede deve ser instalado nas máquinas virtuais do Windows O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças específicas à rede. Médio

O Defender para contêineres já pode verificar se há vulnerabilidades em imagens do Windows (versão prévia)

A verificação de imagem do Defender para contêineres já dá suporte às imagens do Windows que estão hospedadas no Registro de Contêiner do Azure. Esse recurso é gratuito durante a versão prévia e gera um custo quando passa para disponibilidade geral.

Saiba mais em Usar o Microsoft Defender para contêineres para verificar se há vulnerabilidades em imagens.

Novo alerta do Microsoft Defender para Armazenamento (versão prévia)

Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Armazenamento, adicionamos um novo alerta na versão prévia.

Os atores de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender para Armazenamento detecta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.

Esse alerta da versão prévia é chamado Access from a suspicious application. O alerta só é relevante para o Armazenamento de Blobs do Azure e o ADLS Gen2.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
VERSÃO PRÉVIA: acesso em um endereço IP suspeito
(Storage.Blob_SuspiciousApp)
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação.
Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Acesso inicial Médio

Definir as configurações de notificações por email de um alerta

Uma nova seção foi adicionada à interface do usuário dos alertas, que permite ver e editar quem receberá as notificações por email para os alertas disparados na assinatura atual.

Captura de tela da nova interface do usuário mostrando como configurar a notificação por email.

Saiba como Configurar notificações por email para alertas de segurança.

Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses

O seguinte alerta de visualização foi preterido:

Nome do alerta Descrição
VERSÃO PRÉVIA – Atividade de um endereço IP suspeito
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
A atividade de usuários de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detectada.
Esses proxies são usados por usuários que desejam ocultar o endereço IP do dispositivo e podem ser usados com objetivos mal-intencionados. Essa detecção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.
Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem.

Um novo alerta foi criado que fornece essas informações e adiciona a ele. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença do Microsoft Defender para Aplicativos de Nuvem (conhecido anteriormente como Microsoft Cloud App Security).

Veja mais alertas para Resource Manager.

Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas

A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de classificação de segurança para a seção melhores práticas.

A experiência do usuário atual só fornece a pontuação quando todas as verificações de conformidade são aprovadas. A maioria dos clientes tem dificuldades para atender a todas as verificações necessárias. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, depois de lançada, a recomendação será movida de volta para a classificação de segurança.

Fim da recomendação de usar entidades de serviço para proteger suas assinaturas

À medida que as organizações estão se afastando do uso de certificados de gerenciamento para gerenciar assinaturas e com o nosso comunicado recente de que estamos desativando o modelo de implantação dos Serviços de Nuvem (clássico), substituiremos a seguinte recomendação do Defender para Nuvem e sua política relacionada:

Recomendação Descrição Severidade
As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento Os certificados de gerenciamento permitem que qualquer pessoa que os utilize para autenticação gerencie as assinaturas às quais eles estão associados. Para gerenciar assinaturas com mais segurança, o uso de entidades de serviço com o Resource Manager é recomendado para limitar o raio dos danos em caso de comprometimento de um certificado. Ele também automatiza o gerenciamento de recursos.
(Política relacionada: As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento)
Médio

Saiba mais:

A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013

A implementação herdada da ISO 27001 foi removida do painel de conformidade regulatória do Defender para Nuvem. Se você está acompanhando sua conformidade com a ISO 27001 com o Defender para Nuvem, integre o novo padrão ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.

Painel de conformidade regulatória do Defender para Nuvem mostrando a mensagem sobre a remoção da implementação herdada da ISO 27001.

Substituição das recomendações de dispositivo do Microsoft Defender para IoT

As recomendações de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Essas recomendações ainda estarão disponíveis na página Recomendações do Microsoft Defender.

As seguintes recomendações são preteridas:

Chave de avaliação Recomendações
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT Devices Abrir Portas no Dispositivo
ba975338-f956-41e7-a9f2-7614832d382d: IoT Devices Foi encontrada uma regra de firewall permissiva na cadeia de entrada
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT Devices Foi encontrada uma política de firewall permissiva em uma das cadeias
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT Devices Foi encontrada uma regra de firewall permissiva na cadeia de saída
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT Devices Falha na validação de linha de base do sistema operacional
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT Devices O agente envia mensagens subutilizadas
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT Devices É preciso atualizar o pacote de criptografia do TLS
d74d2738-2485-4103-9919-69c7e63776ec: IoT Devices Auditd processo parou de enviar eventos

Substituição dos alertas de dispositivo do Microsoft Defender para IoT

Todos os alertas de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Esses alertas ainda estão disponíveis na página Alerta do Microsoft Defender para IoT e no Microsoft Sentinel.

Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)

  • Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP e AWS. Esse plano sem agente avalia os recursos multinuvem de acordo com as recomendações de segurança específicas da nuvem, que estão incluídas na sua classificação de segurança. Os recursos são avaliados quanto à conformidade usando os padrões internos. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvem que permite gerenciar seus recursos da AWS junto com seus recursos do Azure.

  • O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação no AWS e no GCP. Esse plano do Defender para servidores inclui uma licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais. Saiba mais sobre todos os recursos com compatibilidade para máquinas virtuais e servidores. As funcionalidades de integração automática permitem que você conecte com facilidade as instâncias de computação novas ou existentes descobertas no seu ambiente.

Saiba como proteger e conectar seu ambiente de AWS e a Organização de GCP com o Microsoft Defender para Nuvem.

Verificação de registro para imagens de Windows no ACR na compatibilidade adicionada para nuvens nacionais

A verificação do registro das imagens do Windows já é suportada no Azure Governamental e no Microsoft Azure operado pela 21Vianet. Este complemento está atualmente em versão prévia.

Saiba mais sobre a disponibilidade do nosso recurso.

Fevereiro de 2022

As atualizações de fevereiro incluem:

Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc

Anteriormente, o Defender para contêineres protegia apenas as cargas de trabalho do Kubernetes em execução no Serviço de Kubernetes do Azure. Já estendemos a cobertura de proteção para incluir clusters de Kubernetes habilitados para Azure Arc.

Saiba como configurar a proteção de carga de trabalho do Kubernetes para AKS e para clusters do Kubernetes habilitados para Azure Arc.

CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP

A nova integração automatizada de ambientes da GCP permite proteger cargas de trabalho da GCP com o Microsoft Defender para Nuvem. O Defender para Nuvem protege seus recursos com os seguintes planos:

  • Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP. Esse plano sem agente avalia os recursos do GCP de acordo com as recomendações de segurança específicas do GCP, fornecidas com o Defender para Nuvem. As recomendações da GCP estão incluídas na sua pontuação de segurança e os recursos serão avaliados quanto à conformidade com o padrão CIS interno da GCP. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvens que ajuda você a gerenciar seus recursos do Azure, do AWS e do GCP.

  • O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação da GCP. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais.

    Para ver uma lista completa de recursos disponíveis, confira Recursos com suporte para máquinas virtuais e servidores. As funcionalidades de integração automática permitirão que você conecte com facilidade as instâncias de computação novas e existentes descobertas em seu ambiente.

Saiba como proteger e conectar seus projetos da GCP ao Microsoft Defender para Nuvem.

Plano do Microsoft Defender para Azure Cosmos DB lançado para versão prévia

Estendemos a cobertura de banco de dados do Microsoft Defender para Nuvem. Você já pode habilitar a proteção para seus bancos de dados do Azure Cosmos DB.

O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Microsoft Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.

Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.

Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem com os detalhes da atividade suspeita, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.

Não há nenhum impacto no desempenho do banco de dados na habilitação do serviço, porque o Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB.

Saiba mais em Visão Geral do Microsoft Defender para Azure Cosmos DB.

Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Você já pode habilitar a proteção do Microsoft Defender para Nuvem na sua assinatura para proteger todos os tipos de bancos de dados, como o Azure Cosmos DB, o Banco de Dados SQL do Azure, os servidores SQL do Azure em computadores e o Microsoft Defender para bancos de dados relacionais de código aberto por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos pela configuração do seu plano.

Saiba como habilitar a segurança do banco de dados na assinatura.

Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)

Após nosso comunicado recente CSPM nativo para o GCP e proteção contra ameaças para instâncias de computação do GCP, o Microsoft Defender para Contêineres estendeu a proteção contra ameaças do Kubernetes, a análise comportamental e as políticas internas de controle de admissão para clusters Standard do GKE (Google Kubernetes Engine). Você pode integrar com facilidade todos os clusters Standard do GKE existentes ou novos ao seu ambiente por meio das nossas funcionalidades de integração automática. Confira Segurança de contêiner com o Microsoft Defender para Nuvem para ver uma lista completa dos recursos disponíveis.

Janeiro de 2022

As atualizações em janeiro incluem:

Microsoft Defender para Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para a Matriz MITRE ATT&CK®

A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, ela também é um possível alvo para invasores. Recomendamos que as equipes de operações de segurança monitorem atentamente a camada de gerenciamento de recursos.

O Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização, sejam elas executadas por meio do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure. O Defender para Nuvem executa análises de segurança avançadas a fim de detectar ameaças e alertar você sobre atividades suspeitas.

As proteções do plano aprimoram muito a resiliência da organização contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos Azure para Nuvem.

Em dezembro de 2020, apresentamos a versão prévia do Defender para Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.

Com essa atualização, revisemos de modo abrangente o foco do plano do Microsoft Defender para Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocações suspeitas de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo de ataques em toda a matriz MITRE ATT&CK® para técnicas baseadas em nuvem.

Essa matriz abrange a seguinte variedade de possíveis intenções de atores de ameaças que podem ter como alvo os recursos de sua organização: Acesso inicial, Execução, Persistência, Elevação de privilégio, Evasão de defesa, Acesso a credencial, Descoberta, Movimentação lateral, Coleta, Exfiltração e Impacto.

Os novos alertas para este plano do Defender abrangem essas intenções, conforme mostrado na tabela a seguir.

Dica

Os alertas também aparecem na página de referência de alertas.

Alerta (tipo de alerta) Descrição Táticas do MITRE (intenções) Severidade
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.InitialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso inicial Médio
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Execution)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador na sua assinatura, o que pode indicar uma tentativa de execução de código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Execução Médio
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Persistence)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de estabelecer a persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Persistência Médio
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.PrivilegeEscalation)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de elevar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para elevar privilégios e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Escalonamento de Privilégios Médio
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.DefenseEvasion)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de evadir-se de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Evasão de defesa Médio
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.CredentialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar as credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso com credencial Médio
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.LateralMovement)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de realizar uma movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Movimentação lateral Médio
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Collection)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para coletar dados confidenciais de recursos de seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Coleção Médio
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Impact)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, que pode indicar uma tentativa de alterar uma configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Impacto Médio

Além disso, estes dois alertas do plano saíram da versão prévia:

Alerta (tipo de alerta) Descrição Táticas do MITRE (intenções) Severidade
Operação do Azure Resource Manager partindo de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
O Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. Execução Médio
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
O Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. Evasão de defesa Médio

Recomendações para habilitar planos do Microsoft Defender em workspaces (em versão prévia)

Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender para servidores e do Microsoft Defender para SQL em computadores, os planos precisam ser habilitados nos dois níveis: assinatura e workspace.

Quando um computador estiver em uma assinatura com um desses planos habilitado, você será cobrado por todas as proteções. No entanto, se esse computador estiver se reportando a um workspace sem o plano habilitado, você não receberá esses benefícios.

Adicionamos duas recomendações que realçam workspaces que não têm os planos habilitados, mas que têm computadores relatando a eles de assinaturas que têm o plano habilitado.

As duas recomendações, que oferecem correção automatizada (a ação "Corrigir"), são:

Recomendação Descrição Severidade
O Microsoft Defender para servidores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Visão geral do Microsoft Defender para Servidores.
(Não há política relacionada)
Médio
O Microsoft Defender para SQL em computadores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Visão geral do Microsoft Defender para Servidores.
(Não há política relacionada)
Médio

Provisionar automaticamente o agente do Log Analytics para computadores habilitados para o Azure Arc (versão prévia)

O Defender para Nuvem usa o agente do Log Analytics para coletar dados relacionados à segurança de computadores. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu workspace para análise.

As configurações de provisionamento automático do Defender para Nuvem têm uma alternância para cada tipo de extensão compatível, incluindo o agente do Log Analytics.

Em uma expansão adicional de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente do Log Analytics para computadores conectados ao Azure Arc.

Assim como as outras opções de provisionamento automático, ela é configurada no nível da assinatura.

Ao habilitar essa opção, você precisará informar o workspace.

Observação

Para esta versão prévia, você não pode selecionar os workspaces padrão criados pelo Defender para Nuvem. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para o Azure Arc, verifique se você tem a solução de segurança relevante instalada no workspace selecionado.

Captura de tela de como provisionar automaticamente o agente do Log Analytics para seus computadores habilitados para Azure Arc.

Preterida a recomendação para classificar dados confidenciais em banco de dados SQL

Removemos a recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como o Defender para Nuvem identifica e protege dados confidenciais em seus recursos de nuvem.

O aviso antecipado dessa alteração apareceu nos últimos seis meses na página Alterações importantes futuras no Microsoft Defender para Nuvem.

Anteriormente, o alerta a seguir estava disponível apenas para organizações que tinham habilitado o plano do Microsoft Defender para DNS.

Com essa atualização, o alerta também aparecerá para assinaturas com o plano do Microsoft Defender para servidores ou do Defender para Serviço de Aplicativo habilitado.

Além disso, a Inteligência contra Ameaças da Microsoft expandiu a lista de domínios mal-intencionados conhecidos de modo a incluir domínios associados à exploração das vulnerabilidades amplamente publicadas associadas ao Log4j.

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial / Persistência / Execução / Comando e controle / Exploração Médio

Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança

Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas de SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.

O novo botão Copiar alerta JSON coloca os detalhes do alerta, no formato JSON, na área de transferência do usuário.

Captura de tela do botão 'Copiar JSON de alerta' no painel de detalhes do alerta.

Duas recomendações renomeadas

Para consistência com outros nomes de recomendação, renomeamos estas duas recomendações:

  • Recomendação para resolver vulnerabilidades descobertas em imagens de contêiner em execução

    • Nome anterior: As vulnerabilidades nas imagens de contêiner em execução devem ser corrigidas (da plataforma Qualys)
    • Novo nome: As imagens de contêiner em execução devem ter as descobertas de vulnerabilidade resolvidas
  • Recomendação para habilitar logs de diagnóstico para o Serviço de Aplicativo do Azure

    • Nome anterior: Os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
    • Novo nome: Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados

Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas

A recomendação de que os contêineres de cluster do Kubernetes só devem escutar as portas permitidas foi preterida.

Nome de política Descrição Efeito(s) Versão
Os contêineres de cluster do Kubernetes devem escutar somente em portas permitidas Restringir a escuta dos contêineres apenas às portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte Noções básicas sobre o Azure Policy para clusters do Kubernetes. auditar, negar, desabilitado 6.1.2

A recomendação de que os serviços devem escutar somente em portas permitidas deve ser usada para limitar as portas que um aplicativo expõe à Internet.

Adicionada a pasta de trabalho 'Alertas Ativos'

Para ajudar nossos usuários a compreender as ameaças ativas nos ambientes e a priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.

Captura de tela mostrando a adição da pasta de trabalho de alertas ativos.

A pasta de trabalho de alertas ativos permite que os usuários exibam um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas Ativos'.

Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental

A recomendação 'As atualizações do sistema devem ser instaladas no seu computador' agora está disponível em todas as nuvens governamentais.

É provável que essa alteração afete a Secure Score da sua assinatura de nuvem governamental. Esperamos que a alteração cause uma pontuação menor, mas é possível que a inclusão da recomendação possa resultar em uma pontuação maior em alguns casos.

Dezembro de 2021

As atualizações de dezembro incluem:

Plano do Microsoft Defender para Contêineres lançado para GA (disponibilidade geral)

Há mais de dois anos, introduzimos o Defender para Kubernetes e o Defender para registros de contêiner como parte da oferta Azure Defender no Microsoft Defender para Nuvem.

Com o lançamento do Microsoft Defender para Contêineres, mesclamos esses dois planos existentes do Defender.

O novo plano:

  • Combina os recursos dos dois planos existentes: detecção de ameaças para clusters do Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
  • Traz recursos novos e aprimorados – incluindo suporte multinuvem, detecção de ameaças no nível do host com mais de sessenta novas análises com conhecimento do Kubernetes e avaliação de vulnerabilidade para execução de imagens
  • Apresenta a integração nativa do Kubernetes em escala – por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente

Com esta versão, a disponibilidade e a apresentação do Defender para Kubernetes e do Defender para registros de contêiner foram alteradas da seguinte forma:

  • Novas assinaturas – os dois planos de contêiner anteriores não estão mais disponíveis
  • Assinaturas existentes – Onde quer que apareçam no portal do Azure, os planos são mostrados como Preteridos com instruções de como atualizá-los para o plano mais recente do Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para o Defender para Contêineres e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Introdução ao Microsoft Defender para contêineres.

Para obter mais informações, consulte:

Novos alertas para o Microsoft Defender para Armazenamento lançados para GA (disponibilidade geral)

Os atores de ameaça usam ferramentas e scripts para verificar se há contêineres abertos publicamente na espera de encontrar contêineres de armazenamento abertos configurados incorretamente contendo dados confidenciais.

O Microsoft Defender para Armazenamento detecta esses scanners para que você possa bloqueá-los e remediar sua postura.

O alerta de visualização que detectou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, nós o dividimos em dois novos alertas. Esses alertas são relevantes apenas para o Armazenamento de Blobs do Azure.

Aprimoramos a lógica de detecção, atualizamos os metadados de alerta e mudamos o nome e o tipo de alerta.

Estes são os novos alertas:

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Contêineres de armazenamento acessíveis publicamente descobertos com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de exame.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Médio
Falha no exame de contêineres de armazenamento acessíveis publicamente
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Uma série de tentativas com falha para examinar contêineres de armazenamento abertos publicamente foi executada na última hora.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Baixo

Para obter mais informações, consulte:

Aprimoramentos aos alertas do Microsoft Defender para Armazenamento

Os alertas de acesso inicial agora têm precisão aprimorada e mais dados para dar suporte à investigação.

Os atores de ameaça usam várias técnicas no acesso inicial para obter uma posição dentro de uma rede. Dois dos alertas do Microsoft Defender para Armazenamento que detectam anomalias comportamentais neste estágio agora têm uma lógica de detecção aprimorada e dados adicionais para dar suporte a investigações.

Se você configurou automações ou definiu regras de supressão de alerta para esses alertas no passado, atualize-os de acordo com essas alterações.

Detectar o acesso de um nó de saída do Tor

O acesso de um nó de saída do Tor pode indicar um ator de ameaça tentando ocultar a própria identidade.

O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.

Um padrão subjacente terá severidade alta, enquanto padrões menos anômalos terão severidade média.

O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.

  • Nome do alerta (antigo): acesso de um nó de saída do Tor a uma conta de armazenamento
  • Nome do alerta (novo): acesso autenticado de um nó de saída do Tor
  • Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • Descrição: um ou mais contêineres de armazenamento/compartilhamentos de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido como nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
  • Tática MITRE: acesso inicial
  • Severidade: alta/média

Acesso não autenticado incomum

Uma alteração nos padrões de acesso pode indicar que um ator de ameaça foi capaz de explorar o acesso de leitura público a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.

Esse alerta de severidade média agora está ajustado com lógica comportamental aprimorada, maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.

O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.

  • Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
  • Nome do alerta (novo): acesso não autenticado incomum a um contêiner de armazenamento
  • Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
  • Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure
  • Tática MITRE: coleção
  • Severidade: média

Para obter mais informações, consulte:

Alerta 'PortSweeping' removido dos alertas de camada de rede

O seguinte alerta foi removido de nossos alertas de camada de rede devido a ineficiências:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Possível atividade de verificação de porta de saída detectada
(PortSweeping)
A análise do tráfego de rede de detectou um tráfego de saída suspeito de %{Host Comprometido}. Esse tráfego pode ser resultado de uma atividade de verificação de porta. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta não é permitida pelos Termos de Serviço do Azure. Se esse comportamento não for intencional, poderá significar que o recurso foi comprometido. Descoberta Médio

Novembro de 2021

Nossa versão do Ignite inclui:

Outras alterações em novembro incluem:

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem

De acordo com o relatório Estado da Nuvem de 2021, 92% das organizações agora têm uma estratégia de várias nuvens. Na Microsoft, nossa meta é centralizar a segurança nesses ambientes e ajudar as equipes de segurança a trabalhar com mais eficiência.

O Microsoft Defender para Nuvem é uma solução GPSN (gerenciamento da postura de segurança na nuvem) e CWP (proteção de cargas de trabalho na nuvem) que descobre pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e protege cargas de trabalho em ambientes híbridos e de várias nuvens.

No Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger sua propriedade digital e integrar tecnologias XDR na marca do Microsoft Defender. Unificar a Central de Segurança do Azure e o Azure Defender com o novo nome Microsoft Defender para Nuvem reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de dar suporte a qualquer plataforma de nuvem.

CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2

Uma nova página de configurações de ambiente fornece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas do AWS. A página foi projetada para integração de contas do AWS em escala: conecte sua conta de gerenciamento do AWS e você integrará automaticamente as contas existentes e futuras.

Use a nova página de configurações de ambiente para conectar suas contas do AWS.

Quando você adiciona suas contas do AWS, o Defender para Nuvem protege seus recursos do AWS com um ou todos os seguintes planos:

  • Os recursos do CSPM do Defender para Nuvem se estendem aos seus recursos do AWS. Esse plano sem agente avalia os recursos do AWS de acordo com as recomendações de segurança específicas do AWS, as quais estão incluídas na sua classificação de segurança. Os recursos também serão avaliados quanto à conformidade com padrões internos específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos da AWS e do Azure juntos.
  • O Microsoft Defender para Kubernetes estende sua detecção de ameaças de contêiner e defesas avançadas para seus clusters do Amazon EKS no Linux.
  • O Microsoft Defender para Servidores adiciona proteções avançadas e detecção contra ameaças às suas instâncias EC2 do Windows e do Linux. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, linhas de base de segurança e avaliações no nível do sistema operacional, verificações de avaliação de vulnerabilidade, AAC (controles de aplicativo adaptáveis), FIM (monitoramento de integridade de arquivos) e muito mais.

Saiba mais sobre como conectar suas contas do AWS ao Microsoft Defender para Nuvem.

Priorizar ações de segurança por confidencialidade de dados (da plataforma Microsoft Purview) (em versão prévia)

Os recursos de dados continuam sendo um destino popular para atores de ameaça. Portanto, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais nos próprios ambientes de nuvem.

Para resolver esse desafio, o Microsoft Defender para Nuvem agora integra informações de sensibilidade do Microsoft Purview. O Microsoft Purview é um serviço de governança de dados unificado que fornece insights abrangentes sobre a confidencialidade de seus dados em cargas de trabalho locais e de várias nuvens.

A integração com o Microsoft Purview estende sua visibilidade de segurança no Defender para Nuvem do nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.

Saiba mais em Priorizar as ações de segurança por confidencialidade de dados.

Avaliações de controle de segurança expandidas com o Azure Security Benchmark v3

As recomendações de segurança no Defender para Nuvem são compatíveis com o Azure Security Benchmark.

O Azure Security Benchmark é um conjunto de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

No Ignite 2021, o Azure Security Benchmark v3 está disponível no painel de conformidade regulatória do Defender para Nuvem e habilitado como a nova iniciativa padrão para todas as assinaturas do Azure protegidas com o Microsoft Defender para Nuvem.

Os aprimoramentos da v3 incluem:

  • Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e CIS Controls v8.

  • Diretrizes mais granulares e acionáveis para controles com a introdução de:

    • Princípios de segurança – fornecendo informações sobre os objetivos gerais de segurança que fundamentam nossas recomendações.
    • Diretrizes do Azure – o "como fazer" técnico para atender a esses objetivos.
  • Novos controles incluem segurança do DevOps para problemas como modelagem de ameaças e segurança da cadeia de fornecedores de software, bem como gerenciamento de chaves e certificados para práticas recomendadas no Azure.

Saiba mais em Introdução ao Azure Security Benchmark.

Sincronização opcional de alertas bidirecionais do conector do Microsoft Sentinel liberada para GA (disponibilidade geral)

Em julho, anunciamos uma versão prévia de recurso, a sincronização de alertas bidirecionais, para o conector integrado no Microsoft Sentinel (a solução SIEM e SOAR nativa de nuvem da Microsoft). Esse recurso agora foi lançado para GA (disponibilidade geral).

Quando você conecta o Microsoft Defender para Nuvem ao Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel. Alterar o status de um alerta no Defender não afeta o status dos demais incidentes do Microsoft Sentinel que contiverem o alerta do Microsoft Sentinel sincronizado,mas apenas o do próprio alerta sincronizado.

Ao habilitar a sincronização de alertas bidirecional, você sincronizará automaticamente o status dos alertas originais do Defender para Nuvem com os incidentes do Microsoft Sentinel que contêm as cópias desses alertas. Portanto, por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Microsoft Defender for fechado, o Defender para Nuvem fechará automaticamente o alerta original correspondente.

Saiba como Conectar-se a alertas do Azure Defender na Central de Segurança do Azure e Transmitir alertas para o Azure Sentinel.

Nova recomendação para fazer push de logs do AKS (Serviço de Kubernetes do Azure) para o Sentinel

Em mais um aprimoramento no valor combinado do Defender para Nuvem e do Microsoft Sentinel, agora destacaremos instâncias do Serviço de Kubernetes do Azure que não estão enviando dados de log para o Microsoft Sentinel.

As equipes de SecOps podem escolher o workspace relevante do Microsoft Sentinel diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir a cobertura de log completa nas respectivas cargas de trabalho para se manterem no controle de todo o ambiente delas.

A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados", inclui a opção "Corrigir" para correção mais rápida.

Também aprimoramos a recomendação "A auditoria no servidor SQL deve ser habilitada" com as mesmas funcionalidades de streaming do Sentinel.

Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)

Aprimoramos as recomendações de segurança do Defender para Nuvem para mostrar a posição do Defender na estrutura MITRE ATT&CK®. Essa base de dados de conhecimento globalmente acessível das táticas e técnicas dos atores de ameaças com base em observações do mundo real fornece mais contexto para ajudar você a entender os riscos associados das recomendações para o seu ambiente.

Você pode encontrar essas táticas sempre que acessar as informações de recomendação:

  • Os resultados da consulta do Azure Resource Graph para recomendações relevantes incluem as técnicas e táticas do MITRE ATT&CK®.

  • As páginas de detalhes da recomendação mostram o mapeamento de todas as recomendações relevantes:

  • A página de recomendações no Defender para Nuvem tem um novo filtro para selecionar recomendações de acordo com as táticas associadas:

Saiba mais em Examinar as suas recomendações de segurança.

Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft – liberado para GA (disponibilidade geral)

Em outubro, anunciamos uma extensão à integração entre o Microsoft Defender para servidores e o Microsoft Defender para ponto de extremidade, para permitir uma nova avaliação de vulnerabilidade fornecidas para seus computadores: Gerenciamento de Ameaças e Vulnerabilidades da Microsoft. Esse recurso agora foi lançado para GA (disponibilidade geral).

Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.

Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.

Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).

Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.

O Microsoft Defender para Ponto de Extremidade para Linux agora tem compatibilidade com o Microsoft Defender para servidores – liberado para GA (disponibilidade geral)

Em agosto, anunciamos o suporte de versão prévia para implantar o sensor do Defender para Ponto de Extremidade para Linux em computadores Linux com suporte. Esse recurso agora foi lançado para GA (disponibilidade geral).

O Microsoft Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.

Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.

Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)

O Defender para Nuvem gera alertas e recomendações de segurança detalhados. Você pode exibi-los no portal ou por meio de ferramentas programáticas. Talvez você também precise exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.

O recurso de exportação contínua do Defender para Nuvem permite que você personalize totalmente o que será exportado e para onde irá. Saiba mais em Exportação contínua de dados no Microsoft Defender para Nuvem.

Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados à classificação de segurança e aos dados de conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.

Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para disponibilidade geral (GA)

Em outubro, anunciamos a adição de soluções de avaliação de vulnerabilidade à página de provisionamento automático do Defender para Nuvem. Isso é relevante para máquinas virtuais do Azure e Azure Arc em assinaturas protegidas pelo Azure Defender para servidores. Esse recurso agora foi lançado para GA (disponibilidade geral).

Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:

  • (NOVO) O módulo de Gerenciamento de Ameaças e Vulnerabilidades da Microsoft do Microsoft Defender para Ponto de Extremidade (consulte a nota de lançamento)
  • O agente Qualys integrado

Sua solução escolhida será habilitada automaticamente em computadores com suporte.

Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.

Filtros de inventário de software no inventário de ativos lançados em GA (disponibilidade geral)

Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse. Esse recurso agora foi lançado para GA (disponibilidade geral).

Você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .

Para usar esses recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.

Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.

Nova política de segurança do AKS adicionada à iniciativa padrão

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, o Defender para Nuvem inclui recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para a implantação em clusters do Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a versão prévia relacionada.

Você pode ignorar com segurança as políticas e a recomendação ("os clusters do Kubernetes devem proteger a implantação de imagens vulneráveis") e não haverá impacto sobre seu ambiente.

Se você quiser participar da versão prévia, precisará ser membro do anel de visualização. Se você ainda não for um membro, envie uma solicitação aqui. Os membros serão notificados quando a versão prévia for iniciada.

A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso

Para aprimorar a apresentação de recursos no Inventário de ativos, removeremos o elemento "source-computer-IP" do modelo para nomear computadores locais.

  • Formato anterior: machine-name_source-computer-id_VMUUID
  • A partir desta atualização: machine-name_VMUUID

Outubro de 2021

As atualizações de outubro incluem:

Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft (em versão prévia)

Ampliamos a integração entre o Azure Defender para servidores e o Microsoft Defender para ponto de extremidade a fim de dar suporte a uma nova avaliação de vulnerabilidade fornecidas para seus computadores: Gerenciamento de Ameaças e Vulnerabilidades da Microsoft.

Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.

Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.

Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).

Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.

As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)

A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para máquinas virtuais do Azure e máquinas de Azure Arc em assinaturas protegidas pelo Azure Defender para servidores.

Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:

  • (NOVO) O módulo de Gerenciamento de Ameaças e Vulnerabilidades da Microsoft do Microsoft Defender para Ponto de Extremidade (consulte a nota de lançamento)
  • O agente Qualys integrado

Configure o provisionamento automático do gerenciamento de ameaças e vulnerabilidades da Microsoft na Central de Segurança do Azure.

Sua solução escolhida será habilitada automaticamente em computadores com suporte.

Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.

Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)

A página de inventário de ativo agora inclui um filtro para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse.

Além disso, você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .

Para usar esses novos recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.

Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.

Se você habilitou a solução de ameaça e vulnerabilidade, o inventário de ativos da Central de Segurança oferecerá um filtro para selecionar os recursos por seu software instalado.

Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"

Em julho de 2021, anunciamos uma reorganização lógica dos alertas do Azure Defender para Resource Manager

Durante a reorganização dos planos do Defender, movemos alertas do Azure Defender for Resource Manager para o Azure Defender para servidores.

Com essa atualização, mudamos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na seguinte tabela:

Nome original A partir dessa alteração
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.

Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes

A recomendação "Os clusters do Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nessa recomendação foram removidos: ConfigMap e Segredo.

Saiba mais sobre essa recomendação e como proteger os clusters do Kubernetes em Noções Básicas do Azure Policy para clusters do Kubernetes.

Para esclarecer as relações entre diferentes recomendações, adicionamos uma área de Recomendações relacionadas às páginas de detalhes de várias recomendações.

Os três tipos de relação mostrados nessas páginas são:

  • Pré-requisito – Uma recomendação que precisa ser concluída antes da recomendação selecionada
  • Alternativa – Uma recomendação diferente que oferece outra maneira de atingir as metas da recomendação selecionada
  • Dependente – Uma recomendação da qual a recomendação selecionada é um pré-requisito

Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".

Dica

Se uma recomendação relacionada estiver em cinza, a respectiva dependência ainda não estará concluída e, portanto, não estará disponível.

Um exemplo de recomendações relacionadas:

  1. A Central de Segurança verifica se há soluções de avaliação de vulnerabilidades com suporte nos seus computadores:
    Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais

  2. Se uma solução for encontrada, você receberá uma notificação sobre as vulnerabilidades descobertas:
    As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas

Obviamente, a Central de Segurança não poderá enviar notificações sobre as vulnerabilidades descobertas se não encontrar uma solução de avaliação de vulnerabilidades com suporte.

Portanto:

  • A recomendação nº 1 é um pré-requisito da recomendação nº 2
  • A recomendação nº 2 depende da recomendação nº 1

Captura de tela da recomendação para implantar uma solução de avaliação de vulnerabilidades.

Captura de tela da recomendação para resolver as vulnerabilidades descobertas.

Novos alertas para Azure Defender para Kubernetes (em versão prévia)

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Kubernetes, adicionamos dois alertas em versão prévia.

Esses alertas são gerados com base em um novo modelo de machine learning e na análise avançada do Kubernetes, medindo vários atributos de implantação e de atribuição de função e comparando-os a atividades anteriores no cluster e em todos os clusters monitorados pelo Azure Defender.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Implantação de pod anormal (versão prévia)
(K8S_AnomalousPodDeployment)
A análise de log de auditoria do Kubernetes detectou a implantação de pod que é anormal, com base na atividade de implantação de pod anterior. Essa atividade é considerada uma anormalidade ao levar em conta como os diferentes recursos vistos na operação de implantação estão em relações entre si. Os recursos monitorados por essa análise incluem o registro de imagem de contêiner usado, a conta que executa a implantação, o dia da semana, a frequência com que essa conta executa implantações de pod, o agente de usuário usado na operação, esse é um namespace que é a implantação de pod que ocorre com frequência ou outro recurso. Os principais motivos que contribuem para a criação desse alerta como atividade anormal são detalhados nas propriedades estendidas do alerta. Execução Médio
Permissões de função excessivas atribuídas no cluster do Kubernetes (versão prévia)
(K8S_ServiceAcountPermissionAnomaly)
A análise dos logs de auditoria do Kubernetes detectou uma atribuição de função de permissões excessivas ao cluster. Ao examinar as atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa detecção considera as atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, volume por permissão e o impacto da permissão específica. O modelo de detecção de anormalidades usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados por Azure Defender. Escalonamento de Privilégios Baixo

Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.

Setembro de 2021

Em setembro, a seguinte atualização foi lançada:

Duas novas recomendações para auditar as configurações do sistema operacional para conformidade da linha de base de segurança do Azure (em versão prévia)

Estas duas recomendações foram lançadas para avaliar a conformidade dos computadores com a linha de base de segurança do Windows e a linha de base de segurança do Linux:

Essas recomendações usam o recurso de configuração de convidado do Azure Policy para comparar a configuração do sistema operacional de um computador com a linha de base definida no Azure Security Benchmark.

Saiba mais sobre como usar essas recomendações em Proteger a configuração do sistema operacional de um computador usando a configuração de convidado.

Agosto de 2021

As atualizações de agosto incluem:

O Microsoft Defender para Ponto de Extremidade para Linux agora tem suporte do Azure Defender para servidores (em versão prévia)

O Azure Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado na Central de Segurança. Na Central de Segurança, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.

Durante o período de visualização, você implantará o sensor do Defender para Ponto de Extremidade para Linux em computadores Linux com suporte de uma das duas maneiras possíveis, dependendo de se você já o implantou nos seus computadores Windows:

Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.

Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)

Adicionamos duas recomendações de versão prévia para implantar e manter as soluções de proteção do ponto de extremidade no seu computador. Ambas as recomendações incluem suporte para máquinas virtuais do Azure e máquinas conectadas a servidores habilitados do Azure Arc.

Recomendação Descrição Severidade
O Endpoint Protection deve ser instalado nos computadores Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte. Saiba mais sobre como a Endpoint Protection para os computadores é avaliada.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Alto
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção do ponto de extremidade da Central de Segurança do Azure estão documentadas aqui. A avaliação da proteção de ponto de extremidade está documentada aqui.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Médio

Observação

As recomendações mostram o intervalo de atualização como 8 horas, mas há alguns cenários em que isso pode levar muito mais tempo. Por exemplo, quando um computador local é excluído, a Central de Segurança leva 24 horas para identificar a exclusão. Depois disso, a avaliação levará até oito horas para retornar as informações. Portanto, nessa situação específica, o computador pode levar 32 horas para ser removido da lista de recursos afetados.

Indicador de intervalo de atualização para essas duas novas recomendações da Central de Segurança

Solução de problemas e diretrizes internas para solucionar problemas comuns

Uma nova área dedicada das páginas da Central de Segurança no portal do Azure fornece um conjunto de materiais de ajuda autônoma cada vez mais amplo para resolver desafios comuns da Central de Segurança e do Azure Defender.

Quando você estiver enfrentando um problema ou estiver buscando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudar a encontrar a solução:

Página

Relatórios de auditoria do Azure do painel de conformidade regulatória liberados para GA (disponibilidade geral)

A barra de ferramentas do painel de conformidade regulatória oferece relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas.

Barra de ferramentas do painel de conformidade regulatória mostrando o botão para gerar relatórios de auditoria.

Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.

Para obter mais informações, confira Gerar certificados e relatórios de status de conformidade.

Listas com guias de relatórios de Auditoria do Azure disponíveis. São mostradas guias para relatórios ISO, relatórios SOC, PCI e muito mais.

Substituição da recomendação "Os problemas de integridade do agente do Log Analytics devem ser resolvidos nos computadores"

Descobrimos que a recomendação de problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas afeta as pontuações seguras de maneiras inconsistentes com o foco do GPSN (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o GPSN está relacionado à identificação de configurações incorretas de segurança. Os problemas de integridade do agente não se encaixam nessa categoria de problemas.

Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados à Central de Segurança: esse é o único agente com uma recomendação relacionada a problemas de integridade.

A recomendação foi preterida.

Como resultado dessa descontinuação, também fizemos pequenas alterações nas recomendações para instalar o agente do Log Analytics (O agente do Log Analytics deve ser instalado em... ).

Provavelmente essa alteração afetará suas classificações de segurança. Para a maioria das assinaturas, a expectativa é que a alteração leve a uma classificação maior, mas é possível que as atualizações da recomendação de instalação possam resultar em redução da classificação, em alguns casos.

Dica

A página de inventário de ativos também será afetada por essa alteração, pois exibe o status monitorado de computadores (monitorado, não monitorado ou monitorado parcialmente – um estado que se refere a um agente com problemas de integridade).

O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir descobertas em Usar o Azure Defender para registros de contêiner para verificar suas imagens quanto a vulnerabilidades.

Para limitar o acesso a um registro hospedado no Registro de Contêiner do Azure, atribua endereços IP privados da rede virtual aos pontos de extremidade do registro e use o Link Privado do Azure conforme explicado em Conectar-se de forma privada a um registro de contêiner do Azure usando um Link Privado do Azure.

Como parte de nossos esforços contínuos para dar suporte a ambientes e casos de uso adicionais, o Azure Defender agora também examina os registros de contêiner protegidos com Link Privado do Azure.

A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)

O Azure Policy pode auditar as configurações dentro de um computador, tanto para computadores em execução no Azure quanto em Computadores Conectados pelo Arc. A validação é executada pela extensão e pelo cliente de Configuração de Convidado. Saiba mais em Entender a Configuração de Convidado do Azure Policy.

Com esta atualização, agora você pode configurar a Central de Segurança para provisionar automaticamente essa extensão para todos os computadores com suporte.

Habilitar a implantação automática da extensão de Configuração de Convidado.

Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.

As recomendações agora dão suporte a "Impor"

A Central de Segurança inclui dois recursos que ajudam a garantir que recursos recém-criados sejam provisionados de forma segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:

  • Negar interrompe a criação de recursos não íntegros
  • Impor corrige automaticamente recursos não compatíveis quando eles são criados

Com esta atualização, a opção Impor agora está disponível nas recomendações para habilitar planos do Azure Defender (como O Azure Defender para o Serviço de Aplicativo deve estar habilitado, O Azure Defender para Key Vault deve estar habilitado, O Azure Defender para Armazenamento deve estar habilitado).

Saiba mais sobre essas opções em Impedir configurações incorretas com as recomendações de Impor/Negar.

Exportações de CSV de dados de recomendação agora limitadas a 20 MB

Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.

Botão 'baixar relatório CSV' da Central de Segurança para exportar dados de recomendação.

Se for necessário exportar grandes quantidades de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.

Como filtrar assinaturas no portal do Azure.

Saiba mais sobre como executar uma exportação CSV das recomendações de segurança.

A página de recomendações agora inclui várias exibições

A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:

  • Recomendações de classificação de segurança – Use essa guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
  • Todas as recomendações – Use essa guia para exibir a lista de recomendações como uma lista simples. Essa guia também é excelente para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com as recomendações em O que são políticas de segurança, iniciativas e recomendações?

Guias para alterar a exibição da lista de recomendações na Central de Segurança do Azure.

Julho de 2021

As atualizações de julho incluem:

O conector do Azure Sentinel agora inclui a sincronização opcional de alertas bidirecionais (em versão prévia)

A Central de Segurança se integra nativamente ao Azure Sentinel, a solução de SIEM e SOAR nativa de nuvem do Azure.

O Azure Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em Alertas do Stream para o Azure Sentinel.

Quando você conecta o Azure Defender ao Azure Sentinel, o status dos alertas do Azure Defender que são ingeridos no Azure Sentinel são sincronizados entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Azure Defender, esse alerta também será exibido como fechado no Azure Sentinel. Alterar o status de um alerta no Azure Defender "não" afetará o status de nenhum incidente do Azure Sentinel que contenha o alerta do Azure Sentinel sincronizado, somente o do alerta sincronizado em si.

Quando você habilita a sincronização de alerta bidirecional da versão prévia do recurso, ela sincroniza automaticamente o status dos alertas originais do Azure Defender com incidentes do Microsoft Sentinel que contêm cópias desses alertas do Azure Defender. Portanto, por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Azure Defender for fechado, o Azure Defender fechará automaticamente o alerta original correspondente.

Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure.

Reorganização lógica do Azure Defender para alertas do Resource Manager

Os alertas listados abaixo são fornecidos atualmente como parte do plano do Azure Defender para Resource Manager.

Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos alguns alertas do Azure Defender para Resource Manager para o Azure Defender para servidores.

Os alertas são organizados de acordo com dois princípios essenciais:

  • Alertas que fornecem proteção de plano de controle – em vários tipos de recursos do Azure, são parte do Azure Defender para Resource Manager
  • Alertas que protegem cargas de trabalho específicas estão no plano do Azure Defender relacionado à carga de trabalho correspondente

Estes são os alertas que faziam parte do Azure Defender para Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender para servidores:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.

Aprimoramentos na recomendação para habilitar o ADE (Azure Disk Encryption)

Após os comentários de usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.

A nova recomendação usa a mesma ID de avaliação e é chamada Máquinas virtuais devem criptografar fluxos de dados, caches e discos temporários entre recursos de Computação e de Armazenamento.

A descrição também foi atualizada para explicar melhor a finalidade dessa recomendação de proteção:

Recomendação Descrição Severidade
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e de Armazenamento Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Para obter mais informações, consulte a comparação de diferentes tecnologias de criptografia de disco no Azure.
Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se: (1) você estiver usando o recurso de criptografia no host ou (2) a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais sobre a criptografia do lado do servidor do Armazenamento em Disco do Azure.
Alto

Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)

A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.

Ao configurar a sua exportação contínua, você configura quais itens serão exportados e para onde eles vão. Saiba mais na visão geral de exportação contínua.

Aprimoramos e expandimos esse recurso ao longo do tempo:

  • Em novembro de 2020, adicionamos a opção de versão prévia a fim de transmitir alterações para sua classificação de segurança.

  • Em dezembro de 2020, adicionamos a opção de versão prévia a fim de transmitir as alterações para os seus dados de avaliação de conformidade regulatória.

Com esta atualização, essas duas opções são liberadas para GA (disponibilidade geral).

As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)

Em fevereiro de 2021, adicionamos um terceiro tipo de dados de versão prévia às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória. Saiba mais em As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória.

Com esta atualização, essa opção de gatilho é liberada para GA (disponibilidade geral).

Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.

Como usar as avaliações de conformidade regulatória para disparar uma automação de fluxo de trabalho.

Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos

Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, confira API de Avaliações expandida com dois novos campos.

Esses campos eram acessíveis por meio da API REST, do Azure Resource Graph, da exportação contínua e nas exportações de CSV.

Com esta alteração, estamos disponibilizando as informações no esquema de workspace do Log Analytics e nos aplicativos lógicos.

Em março, anunciamos a experiência integrada de Pastas de Trabalho do Azure Monitor na Central de Segurança (confira Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos).

A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.

Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.

Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.

Pasta de trabalho Conformidade ao longo do tempo da Central de Segurança do Azure

Junho de 2021

As atualizações de junho incluem:

Novo alerta do Azure Defender para o Key Vault

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Key Vault, adicionamos o seguinte alerta:

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Acesso de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Acesso com credencial Médio

Para obter mais informações, consulte:

Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão

A Central de Segurança inclui várias recomendações para criptografar dados inativos com chaves gerenciadas pelo cliente, como por exemplo:

  • Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
  • Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)

Os dados no Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma. Portanto, o uso de chaves gerenciadas pelo cliente deve ser aplicado somente quando necessário para conformidade com uma política específica que sua organização está optando por exigir.

Com essa alteração, as recomendações para usar CMKs agora estão desabilitadas por padrão. Quando for relevante para sua organização, você pode habilitá-los alterando o parâmetro Efeito da política de segurança correspondente para AuditIfNotExists ou Exigir. Saiba mais em Habilitar uma recomendação de segurança.

Essa alteração é refletida nos nomes da recomendação com um novo prefixo [Habilitar se necessário] , conforme mostrado nos exemplos a seguir:

  • [Habilitar se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados inativos
  • [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • [Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos

As recomendações da CMK da Central de Segurança são desabilitadas por padrão.

O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"

O Azure Defender para Kubernetes foi expandido recentemente para proteger os clusters do Kubernetes hospedados localmente e em ambientes de várias nuvens. Saiba mais em Como usar o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (em versão prévia).

Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender para Kubernetes não estão mais restritos aos clusters no Serviço de Kubernetes do Azure, o prefixo dos tipos de alerta mudou de "AKS_" para "K8S_." Quando necessário, os nomes e as descrições também serão atualizados. Por exemplo, este alerta:

Alerta (tipo de alerta) Descrição
Ferramenta de teste de penetração do Kubernetes detectada
(AKS_PenTestToolsKubeHunter)
A análise de logs de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

Alterado para este alerta:

Alerta (tipo de alerta) Descrição
Ferramenta de teste de penetração do Kubernetes detectada
(K8S_PenTestToolsKubeHunter)
A análise de logs de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

As regras de supressão que se referem aos alertas que começam com "AKS_" foram convertidas automaticamente. Se você configurou exportações do SIEM ou scripts de automação personalizados que se referem aos alertas do Kubernetes por tipo de alerta, precisará atualizá-los com os novos tipos de alertas.

Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.

Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"

As duas recomendações abaixo foram preteridas:

  • A versão do sistema operacional das funções de serviço de nuvem deverá ser atualizada – Por padrão, o Azure atualiza de modo periódico o SO convidado para obter a imagem compatível mais recente dentro da família de sistemas operacionais especificada em sua configuração de serviço (.cscfg), como o Windows Server 2016.
  • Os Serviços de Kubernetes deverão ser atualizados para uma versão do Kubernetes não vulnerável – Esta avaliação da recomendação não é tão abrangente quanto gostaríamos. Planejamos substituir a recomendação por uma versão aprimorada mais alinhada às suas necessidades de segurança.

Maio de 2021

As atualizações de maio incluem:

Azure Defender para DNS e Azure Defender para Resource Manager liberados para GA (disponibilidade geral)

Esses dois planos de proteção contra ameaças de amplitude nativa de nuvem agora são GA.

Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.

Para simplificar o processo de habilitação desses planos, use as recomendações:

  • O Azure Defender para Resource Manager deve ser habilitado
  • O Azure Defender para DNS deve ser habilitado

Observação

Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.

Azure Defender para bancos de dados relacionais de código aberto liberado para GA (Disponibilidade Geral)

A Central de Segurança do Azure expande sua oferta de proteção do SQL com um novo pacote para abranger seus bancos de dados relacionais de código aberto:

  • Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
  • Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais
  • Azure Defender para bancos de dados relacionais open-source - protege seus servidores únicos de Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB

O Azure Defender para bancos de dados relacionais open-source monitora constantemente seus servidores em busca de ameaças à segurança e detecta atividades anormais de banco de dados que indicam possíveis ameaças ao Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:

  • Detecção granular de ataques de força bruta – o Azure Defender para bancos de dados relacionais de código aberto fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e atue tendo uma compreensão mais ampla da natureza e do status do ataque em seu ambiente.
  • Detecção de alertas comportamentais – o Azure Defender para bancos de dados relacionais open-source alerta sobre comportamentos suspeitos e inesperados em seus servidores, como por exemplo, alterações no padrão de acesso ao banco de dados.
  • Detecção baseada em inteligência contra ameaças – o Azure Defender aplica a inteligência contra ameaças da Microsoft e a vasta base de dados de conhecimento para exibir alertas de ameaças para que você possa agir contra eles.

Saiba mais em Introdução ao Azure Defender para bancos de dados relacionais open-source.

Novos alertas do Azure Defender para Resource Manager

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Resource Manager, adicionamos os seguintes alertas:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Permissões concedidas para uma função RBAC de uma maneira incomum para seu ambiente do Azure (versão prévia)
(ARM_AnomalousRBACRoleAssignment)
O Azure Defender para Resource Manager detectou uma atribuição de função RBAC incomum quando comparada com outras atribuições executadas pelo mesmo designador/executada para o mesmo destinatário/em seu locatário, devido às seguintes anomalias: hora de atribuição, local do designador, designador, método de autenticação, entidades atribuídas, software cliente usado, extensão de atribuição. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando conceder permissões a uma outra conta de usuário. Movimento lateral, Evasão de defesa Médio
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)
(ARM_PrivilegedRoleDefinitionCreation)
O Azure Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção. Movimento lateral, Evasão de defesa Baixo
Operação do Azure Resource Manager a partir de um endereço IP suspeito (versão prévia)
(ARM_OperationFromSuspiciousIP)
O Azure Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. Execução Médio
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (versão prévia)
(ARM_OperationFromSuspiciousProxyIP)
O Azure Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. Evasão de defesa Médio

Para obter mais informações, consulte:

Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (versão prévia)

O Azure Defender para registros de contêiner agora fornece observabilidade das equipes DevSecOps nos fluxos de trabalho do GitHub Action.

O novo recurso de verificação de vulnerabilidade para imagens de contêiner utilizando Trivy, ajuda a verificar vulnerabilidades comuns em suas imagens de contêineres antes de enviar imagens para registros de contêiner.

Os relatórios de verificação de contêiner são resumidos na Central de Segurança do Azure, fornecendo às equipes de segurança, melhores insights e compreensão sobre a fonte de imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde elas se originam.

Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho CI/CD.

Mais consultas do Resource Graph disponíveis para algumas recomendações

Todas as recomendações da Central de Segurança têm a opção de exibir as informações sobre o status dos recursos afetados usando o Azure Resource Graph a partir do Abrir consulta. Para obter detalhes completos sobre esse recurso poderoso, consulte Examinar dados de recomendação no Azure Resource Graph Explorer.

A Central de Segurança inclui verificadores de vulnerabilidades internos para examinar as VMs, servidores SQL e seus hosts e registros de contêiner contra vulnerabilidades de segurança. As conclusões são retornadas como recomendações mostradas uma única exibição, com todas as descobertas individuais de cada tipo de recurso coletado. As recomendações são:

  • As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas (da plataforma Qualys)
  • As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
  • Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
  • Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas

Com essa alteração, você pode usar o botão Abrir consulta para abrir a consulta e mostrar também as descobertas de segurança.

O botão abrir consulta agora oferece opções para uma consulta mais detalhada, mostrando as descobertas de segurança para as recomendações relacionadas ao verificador de vulnerabilidades.

O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.

Saiba mais sobre os verificadores de vulnerabilidades da Central de Segurança:

Alterada a severidade da recomendação de classificação de dados SQL

A severidade da recomendação Os dados confidenciais nos bancos de dado SQL devem ser confidenciais foi alterada de Alta para Baixa.

Isso faz parte de uma mudança em curso para essa recomendação, anunciada em nossa página de alterações futuras.

Novas recomendações para habilitar recursos de início confiável (em versão prévia)

O Azure oferece o início confiável como uma maneira simples de melhorar a segurança de VMs de geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas. Saiba mais em Início confiável para máquinas virtuais do Azure.

Importante

O início confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.

O início confiável está atualmente em visualização pública. Essa versão prévia é fornecida sem um Contrato de Nível de Serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.

A recomendação da Central de Segurança, vTPM deve ser habilitada em máquinas virtuais com suporte, garante que as VMs do Azure estejam usando um vTPM. Essa versão virtualizada de um Módulo de plataforma confiável de hardware habilita o atestado medindo toda a cadeia de inicialização da VM (UEFI, SO, sistema e drivers).

Com o vTPM habilitado, a extensão de Atestado de convidado pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:

  • A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux
  • A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux

Saiba mais em Início confiável para máquinas virtuais do Azure.

Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)

As recomendações a seguir permitem que você proteja ainda mais os clusters Kubernetes

  • Os clusters Kubernetes não devem usar o namespace padrão – evite o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado de tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount.
  • Os clusters Kubernetes devem desabilitar a montagem automática de credenciais de API – para impedir que um recurso Pod possivelmente comprometido execute comandos de API em clusters Kubernetes, desabilite as credenciais da API de montagem automática.
  • Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Saiba como a Central de Segurança pode proteger seus ambientes em contêineres em Segurança de contêiner na Central de Segurança.

API de avaliações expandida com dois novos campos

Adicionamos os dois campos a seguir à API REST de avaliações:

  • FirstEvaluationDate – a hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
  • StatusChangeDate – a hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.

O valor padrão inicial para esses campos - para todas as recomendações – é 2021-03-14T00:00:00+0000000Z.

Para acessar essas informações, use qualquer um dos métodos na tabela a seguir.

Ferramenta Detalhes
Chamada da API REST GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Gráfico de Recursos do Azure securityresources
where type == "microsoft.security/assessments"
Exportação contínua Os dois campos dedicados estarão disponíveis nos dados do workspace do Log Analytics
Exportação de CSV Os dois campos foram incluídos nos arquivos CSV

Saiba mais sobre a API REST de avaliações.

O inventário de ativos obtém um filtro de ambiente de nuvem

A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.

Um novo filtro oferece a opção de refinar a lista de acordo com as contas de nuvem que você conectou ao recurso multinuvem da Central de Segurança.

Saiba mais sobre as funcionalidades de várias nuvens:

Abril de 2021

As atualizações de abril incluem:

Página de integridade de recursos atualizada (em versão prévia)

A integridade dos recursos foi expandida, aprimorada e melhorada para fornecer uma visão instantânea da integridade geral de um único recurso.

Examine informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançada do Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.

Para abrir a página de integridade de recursos, selecione qualquer recurso na página de inventário de ativos.

Esta página de versão prévia nas páginas do portal da Central de Segurança mostra:

  1. Informações do recurso: o grupo de recursos e a assinatura à qual ele está anexado, a localização geográfica, entre outros.
  2. Recurso de segurança aplicado: indica se o Azure Defender está habilitado para o recurso.
  3. Contagens de recomendações e alertas pendentes: o número de recomendações de segurança pendentes e alertas do Azure Defender.
  4. Recomendações e alertas acionáveis: duas guias listam as recomendações e os alertas que se aplicam ao recurso.

Página de integridade do recurso da Central de Segurança do Azure que mostra as informações de integridade de uma máquina virtual

Saiba mais em Tutorial: Investigar a integridade dos seus recursos.

As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para disponibilidade geral (GA))

O Azure Defender para registros de contêiner inclui um examinador de vulnerabilidades interno. Ele examina imediatamente qualquer imagem que você envia por push para o registro e qualquer imagem extraída nos últimos 30 dias.

Novas vulnerabilidades são descobertas todos os dias. Com essa atualização, as imagens de contêiner que foram extraídas de seus registros durante os últimos 30 dias serão examinadas novamente a cada semana. Isso garante que as vulnerabilidades recém-descobertas sejam identificadas em suas imagens.

O exame é cobrado por imagem, portanto, não há nenhum custo adicional para estes exames feitos novamente.

Saiba mais sobre este exame em Usar o Azure Defender para registros de contêiner para verificar se há vulnerabilidades em suas imagens.

Use o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (versão prévia)

O Azure Defender para Kubernetes está expandindo as funcionalidades de proteção contra ameaças para defender seus clusters onde quer que estejam implantados. Isso foi habilitado pela integração com o Kubernetes habilitado para Azure Arc e seus novos recursos de extensões.

Quando você tiver habilitado o Azure Arc nos clusters do Kubernetes não Azure, uma nova recomendação da Central de Segurança do Azure oferecerá implantar o agente do Azure Defender neles com apenas alguns cliques.

Use a recomendação (Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger os clusters do Kubernetes implantados em outros provedores de nuvem, embora não em seus serviços Kubernetes gerenciados.

Essa integração entre a Central de Segurança do Azure, o Azure Defender e o Kubernetes habilitado para Azure Arc traz:

  • Provisionamento fácil do agente do Azure Defender para clusters do Kubernetes desprotegidos habilitados para Azure Arc (manualmente e em escala)
  • Monitoramento do agente do Azure Defender e seu estado de provisionamento no portal do Azure Arc
  • As recomendações de segurança da Central de Segurança são relatadas na nova Página de Segurança do Portal do Azure Arc
  • As ameaças de segurança identificadas do Azure Defender são relatadas na nova página de segurança do portal do Azure Arc
  • Os clusters do Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência da Central de Segurança do Azure

Saiba mais em Usar o Azure Defender para Kubernetes com seus clusters do Kubernetes locais e de várias nuvens.

Recomendação da Central de Segurança do Azure para implantar o agente do Azure Defender para clusters Kubernetes habilitados para o Azure Arc.

Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows, lançada para GA (disponibilidade geral)

O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.

Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.

Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.

Observação

Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.

Recomendações para habilitar o Azure Defender para DNS e o Resource Manager (versão prévia)

Duas novas recomendações foram adicionadas para simplificar o processo de habilitar o Azure Defender para Resource Manager e o Azure Defender para DNS:

  • O Azure Defender para Resource Manager deve ser habilitado – O Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas.
  • O Azure Defender para DNS deve ser habilitado – O Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem, monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Azure Defender alertará você sobre atividades suspeitas na camada DNS.

Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.

Dica

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia

Adicionamos três padrões para uso com a Central de Segurança do Azure. Usando o painel de conformidade regulatória, agora você pode controlar sua conformidade com:

Você pode atribuí-los a suas assinaturas, conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Três padrões adicionados para uso com o painel de conformidade regulatória da Central de Segurança do Azure.

Saiba mais em:

A extensão da Configuração de Convidado do Azure relata à Central de Segurança para ajudar a garantir que as configurações das máquinas virtuais para convidados sejam protegidas. A extensão não é necessária para servidores habilitados para o Arc porque está incluída no agente do Computador Conectado ao Arc. A extensão requer uma identidade gerenciada pelo sistema no computador.

Adicionamos quatro novas recomendações à Central de Segurança para aproveitar ao máximo essa extensão.

  • Duas recomendações solicitam que você instale a extensão e a identidade obrigatória dela gerenciada pelo sistema:

    • A extensão de Configuração de Convidado deve ser instalada nos seus computadores
    • A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema
  • Quando a extensão estiver instalada e em execução, ela começará a auditar seus computadores e você será solicitado a proteger as configurações, como a configuração do sistema operacional e as configurações de ambiente. Essas duas recomendações solicitarão que você proteja seus computadores Windows e Linux conforme descrito:

    • O Microsoft Defender Exploit Guard deve estar habilitado nos computadores
    • A autenticação para computadores Linux deve exigir chaves SSH

Saiba mais em Entender a Configuração de Convidado do Azure Policy.

As recomendações do CMK foram movidas para o controle de segurança de melhores práticas

O programa de segurança de cada organização inclui os requisitos de criptografia de dados. Por padrão, os dados dos clientes do Azure são criptografados em repouso com chaves gerenciadas pelo serviço. Entretanto, as CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. As CMKs permitem que você criptografe os dados com uma chave do Azure Key Vault criada por você e de sua propriedade. Isso dá a você o controle e a responsabilidade total pelo ciclo de vida da chave, incluindo rotação e gerenciamento.

Os controles de segurança da Central de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Cada controle, tem um número máximo de pontos que você poderá adicionar à sua classificação de segurança se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança para Implementar as melhores práticas de segurança vale zero pontos. Portanto, as recomendações neste controle não afetam sua classificação de segurança.

As recomendações listadas abaixo estão sendo movidas para o controle de segurança para Implementar as melhores práticas de segurança para refletir melhor sua natureza opcional. Essa transferência garantirá que estas recomendações estejam no controle mais apropriado para atender ao respectivo objetivo.

  • As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
  • Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As contas dos serviços de IA do Azure devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
  • Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
  • Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
  • As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

11 alertas do Azure Defender preteridos

Os onze alertas do Azure Defender listados abaixo foram preteridos.

  • Novos alertas substituirão estes dois alertas e fornecerão uma cobertura melhor:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo VERSÃO PRÉVIA – Execução da função "Get-AzureDomainInfo" do kit de ferramentas do MicroBurst detectada
    ARM_MicroBurstRunbook VERSÃO PRÉVIA – Execução da função "Get-AzurePasswords" do kit de ferramentas do MicroBurst detectada
  • Estes nove alertas estão relacionados a um IPC do AAD (conector do Azure Active Directory Identity Protection) que já foi preterido:

    AlertType AlertDisplayName
    UnfamiliarLocation Propriedades de entrada desconhecidas
    AnonymousLogin Endereço IP anônimo
    InfectedDeviceLogin Endereço IP vinculado a malware
    ImpossibleTravel Viagem atípica
    MaliciousIP Endereço IP mal-intencionado
    LeakedCredentials Credenciais vazadas
    PasswordSpray Pulverização de senha
    LeakedCredentials Inteligência contra ameaças do Azure AD
    AADAI IA do Azure AD

    Dica

    Esses nove alertas do IPC nunca foram alertas da Central de Segurança. Eles fazem parte do conector do Azure Active Directory (AAD) Identity Protection (IPC) que os enviava para a Central de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O AAD IPC continuou a mostrá-los em seus próprios sistemas de alertas e eles continuaram disponíveis no Azure Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.

Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas

As duas recomendações seguintes foram preteridas e as alterações podem resultar em um pequeno impacto na sua classificação de segurança:

  • Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas
  • O agente de monitoramento deve ser instalado em seus computadores. Essa recomendação está relacionada somente a computadores locais e uma parte da lógica dela será transferida para outra recomendação, Problemas de integridade do agente do Log Analytics devem ser resolvidos em seus computadores

É recomendável verificar suas configurações de exportação contínua e automação de fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, painéis ou outras ferramentas de monitoramento que possam estar as usando devem ser atualizados de acordo.

Azure Defender para SQL na peça do computador removida do painel do Azure Defender

A área de cobertura do painel do Azure Defender inclui blocos para os planos relevantes do Azure Defender para seu ambiente. Devido a um problema com o relatório dos números de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos para o Azure Defender para SQL em computadores até que o problema seja resolvido.

Recomendações movidas entre controles de segurança

As recomendações a seguir foram transferidas para controles de segurança diferentes. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Essa transferência garantirá que cada uma dessas recomendações esteja no controle mais apropriado para atender ao respectivo objetivo.

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

Recomendação Alteração e respectivo impacto
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL
A avaliação de vulnerabilidades deve ser habilitada nas instâncias gerenciadas do SQL
As vulnerabilidades encontradas nos bancos de dados SQL deverão ser corrigidas novamente
As vulnerabilidades nos seus bancos de dados SQL em VMs devem ser corrigidas
Passando de Corrigir vulnerabilidades (vale seis pontos)
para Corrigir configurações de segurança (vale quatro pontos).
Essas recomendações terão um impacto reduzido em sua pontuação, dependendo do ambiente.
Deve haver mais de um proprietário atribuído à sua assinatura
As variáveis da conta de automação devem ser criptografadas
Dispositivos IoT – O processo auditado parou de enviar eventos
Dispositivos IoT – Houve uma falha na validação de linha de base do sistema operacional
Dispositivos IoT – É preciso atualizar o pacote de criptografia do TLS
Dispositivos IoT – Abrir portas no dispositivo
Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias
Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada
Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída
Os logs de diagnóstico no Hub IoT devem ser habilitados
Dispositivos IoT – O agente está enviando mensagens subutilizadas
Dispositivos IoT – A política de filtro IP padrão deverá ser negada
Dispositivos IoT – A regra de filtro IP é maior do que o intervalo de IP
Dispositivos IoT – Os intervalos e o tamanho das mensagens do agente deverão ser ajustados
Dispositivos IoT – As credenciais de autenticação são idênticas
Dispositivos IoT – O processo auditado parou de enviar eventos
Dispositivos IoT – A configuração de linha de base do SO (sistema operacional) deverá ser corrigida
Como executar uma transferência para a opção Implementar práticas recomendadas de segurança.
Ao transferir uma recomendação para a opção Implementar o controle de segurança de práticas recomendadas de segurança, que não vale pontos, a recomendação não afetará mais sua classificação de segurança.

Março de 2021

As atualizações de março incluem:

Gerenciamento de Firewall do Azure integrado à Central de Segurança

Quando você abre a Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.

Esse painel interativo fornece uma exibição unificada da postura de segurança das cargas de trabalho de nuvem híbrida. Além disso, ela mostra alertas de segurança, informações de cobertura, entre outros.

Como parte da ajuda para exibir o status de segurança de uma experiência central, integramos o Gerenciador de Firewall do Azure a esse painel. Agora você pode verificar o status de cobertura do Firewall em todas as redes e gerenciar de forma centralizada as políticas de Firewall do Azure a partir da Central de Segurança.

Saiba mais sobre esse painel na página de visão geral da Central de Segurança do Azure.

Painel de visão geral da Central de Segurança com um bloco para o Firewall do Azure

Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)

A Central de Segurança inclui um scanner de vulnerabilidades interno para ajudar a descobrir, acompanhar e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança dos computadores SQL e detalhes sobre eventuais descobertas de segurança.

Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Saiba mais em Desabilitar descobertas específicas.

Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos

Como parte do Ignite Spring 2021, anunciamos uma experiência integrada das Pastas de Trabalho do Azure Monitor na Central de Segurança.

Você pode usar a nova integração para começar a usar os modelos prontos para uso da galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, você pode criar novas pastas de trabalho com base nos dados da Central de Segurança ou em qualquer outro tipo de dados com suporte e implantar rapidamente as pastas de trabalho da comunidade do GitHub da Central de Segurança.

São fornecidos três relatórios de modelos:

  • Classificação de segurança ao longo do tempo – Acompanhar as pontuações das assinaturas e as alterações das recomendações para os recursos
  • Atualizações do sistema – Exibir atualizações de sistema ausentes por recursos, sistema operacional, severidade e muito mais
  • Descobertas da avaliação de vulnerabilidade – Exibir as descobertas das verificações de vulnerabilidade dos recursos do Azure

Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.

Relatório de classificação de segurança ao longo do tempo.

Agora o painel de conformidade regulatória inclui os relatórios de auditoria do Azure (versão prévia)

Na barra de ferramentas do painel de conformidade regulatória, agora você pode baixar relatórios de certificação do Azure e do Dynamics.

Barra de ferramentas do painel de conformidade regulatória

Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.

Saiba mais sobre Como gerenciar os padrões no painel de conformidade regulatória.

Como filtrar a lista de relatórios de auditoria disponíveis do Azure.

Os dados de recomendação podem ser exibidos no Azure Resource Graph com "Explorar no ARG"

As páginas de detalhes de recomendação agora incluem o botão de barra de ferramentas "Explorar no ARG". Use esse botão para abrir uma consulta do Azure Resource Graph e explorar, exportar e compartilhar os dados da recomendação.

O ARG (Azure Resource Graph) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.

Saiba mais sobre o Azure Resource Graph.

Explore os dados de recomendação no Azure Resource Graph.

Atualizações das políticas para implantar a automação do fluxo de trabalho

A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.

Fornecemos três políticas 'DeployIfNotExist' do Azure Policy que criam e configuram os procedimentos de automação do fluxo de trabalho para que você possa implantar as automações na organização:

Goal Política ID da política
Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure 73d6ab6c-2475-4850-afd6-43795f3492ef
Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a Automação de Fluxo de Trabalho para conformidade regulatória da Central de Segurança do Azure 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Há duas atualizações para os recursos dessas políticas:

  • Quando atribuídas, elas permanecerão habilitadas por aplicação.
  • Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.

Introdução aos modelos de automação de fluxo de trabalho.

Saiba mais sobre como Automatizar respostas para os gatilhos da Central de Segurança.

Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure

A Central de Segurança transmite os dados de quase todas as recomendações de segurança para o Assistente do Azure, que, por sua vez, grava-os no log de atividades do Azure.

Para duas recomendações, os dados são gravados de modo simultâneo diretamente no log de atividades do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, os dados são exportados para o Assistente do Azure, assim como todas as outras recomendações.

As duas recomendações herdadas são:

  • Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores
  • As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas

Se você estiver acessando informações dessas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, isso não estará mais disponível.

Aprimoramentos na página de recomendações

Lançamos uma versão aprimorada da lista de recomendações para apresentar mais informações em uma visão rápida.

Agora, na página, você verá:

  1. A pontuação máxima e a pontuação atual de cada controle de segurança.
  2. Ícones que substituem marcas, como Correção e Versão prévia.
  3. Uma nova coluna mostrando a Iniciativa de política relacionada a cada recomendação, visível quando a opção "Agrupar por controles" está desabilitada.

Aprimoramentos na página de recomendações da Central de Segurança do Azure – Março de 2021

Aprimoramentos na lista 'simples' de recomendações da Central de Segurança do Azure – Março de 2021

Saiba mais em Recomendações de segurança na Central de Segurança do Azure.

Fevereiro de 2021

As atualizações de fevereiro incluem:

Nova página de alertas de segurança no portal do Azure lançada para GA (disponibilidade geral)

A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:

  • Experiência de triagem aprimorada para alertas – ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento.
  • Mais informações na lista de alertas – como táticas MITRE ATT&ACK.
  • Botão para criação de alertas de exemplo – para avaliar as funcionalidades do Azure Defender e testar a sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender.
  • Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender a usar deles com base no conhecimento adquirido com o outro.
  • Melhor desempenho para listas grandes de alertas.
  • Navegação por teclado na lista de alertas.
  • Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
  • Recurso de criação de alertas de exemplo – para criar alertas de exemplo por meio da nova experiência de alertas, confira Gerar alertas de exemplo do Azure Defender.

Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)

Estamos felizes em anunciar a GA (disponibilidade geral) do conjunto de recomendações para proteções de cargas de trabalho do Kubernetes.

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Quando o Azure Policy para Kubernetes for instalado no seu cluster do Serviço de Kubernetes do Azure (AKS), todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas - exibidas como 13 recomendações de segurança - antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.

Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.

Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.

Observação

Enquanto as recomendações estavam em versão prévia, elas não renderizavam um recurso de cluster do AKS não íntegro e não eram incluídas nos cálculos da sua classificação de segurança. Com este comunicado de GA, elas serão incluídas no cálculo da classificação. Se você ainda não corrigiu, isso pode resultar em um pequeno impacto em sua classificação de segurança. Corrija-as sempre que possível, conforme descrito em Corrigir recomendações na Central de Segurança do Azure.

Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (na versão prévia)

O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.

Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.

Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.

Observação

Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.

Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação com suporte de uma política, há um novo link na página de detalhes da recomendação:

Link para a página do Azure Policy de uma política específica que dá suporte a uma recomendação.

Use esse link para ver a definição de política e examinar a lógica de avaliação.

A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança

A recomendação Os dados confidenciais nos seus bancos de dados SQL devem ser classificados não afetará mais sua classificação de segurança. O controle de segurança Aplicar classificação de dados que a contém agora tem um valor de pontuação de segurança de 0.

Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.

As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)

Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.

Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.

Como usar as avaliações de conformidade regulatória para disparar uma automação de fluxo de trabalho.

Aprimoramentos de página de inventário de ativos

A página de inventário de ativos da Central de Segurança foi aprimorada:

  • Os resumos na parte superior da página agora incluem Assinaturas não registradas, mostrando o número de assinaturas sem a Central de Segurança habilitada.

    Contagem de assinaturas não registradas nos resumos na parte superior da página de inventário de ativos.

  • Os filtros foram expandidos e aprimorados para incluir:

    • Contagens – Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria

      Contagens nos filtros na página de inventário de ativos da Central de Segurança do Azure.

    • Contém filtro de isenções (opcional) – Restrinja os resultados a recursos que têm/não têm isenções. Esse filtro não é mostrado por padrão, mas pode ser acessado no botão Adicionar filtro.

      Foi adicionado o filtro 'contém isenção' na página de inventário de ativos da Central de Segurança do Azure

Saiba mais sobre como Explorar e gerenciar seus recursos com o inventário de ativos.

Janeiro de 2021

As atualizações em janeiro incluem:

O Azure Security Benchmark agora é a iniciativa de política padrão da Central de Segurança do Azure

O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft com as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

Nos últimos meses, a lista da Central de Segurança de recomendações de segurança internas cresceu significativamente expandindo nossa cobertura desse parâmetro de comparação.

A partir desta versão, o parâmetro de comparação é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.

Todos os serviços do Azure têm uma página de linha de base de segurança na documentação. Essas linhas de base são criadas no Azure Security Benchmark.

Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do parâmetro de comparação durante um período de transição:

O painel de conformidade regulatória da Central de Segurança do Azure que mostra o Azure Security Benchmark

As recomendações existentes não são afetadas e, conforme o parâmetro de comparação cresce, as alterações serão refletidas automaticamente na Central de Segurança.

Para saber mais, confira as seguintes páginas:

A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)

Em outubro, anunciamos uma versão prévia para a verificação de servidores habilitados para Azure Arc com um verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores(da plataforma Qualys).

Ela agora foi lançada para GA (disponibilidade geral).

Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.

Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.

Principais recursos:

  • Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
  • Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
  • Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
  • Experiência unificada para VMs do Azure e computadores do Azure Arc

Saiba mais sobre a implantação do verificador de vulnerabilidades integrado da Qualys em computadores híbridos.

Saiba mais sobre os servidores habilitados para Azure Arc.

A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia

A página de classificação de segurança agora mostra as classificações de segurança agregadas dos seus grupos de gerenciamento, além do nível de assinatura. Agora, você pode ver a lista de grupos de gerenciamento na sua organização e a pontuação de cada grupo de gerenciamento.

Como exibir as classificações de segurança de seus grupos de gerenciamento.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

API de classificação de segurança lançada para GA (disponibilidade geral)

Agora é possível acessar sua classificação por meio de uma API de classificação de segurança. Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo:

  • use a API Classificações de Segurança para obter a classificação de uma assinatura específica
  • use a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas

Saiba mais sobre as ferramentas externas que são possíveis com a API de classificação de segurança na área de classificação de segurança da nossa comunidade do GitHub.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

Proteções de DNS pendentes e adicionadas ao Azure Defender para o Serviço de Aplicativo

As invasões de subdomínios são uma ameaça comum de gravidade alta para as organizações. Uma tomada de controle de subdomínio poderá ocorrer quando um registro DNS indicar um site desprovisionado. Esses registros DNS também são conhecidos como entradas "DNS pendentes". Os registros CNAME são particularmente vulneráveis a essa ameaça.

As invasões de subdomínio permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.

O Azure Defender para o Serviço de Aplicativo agora detecta entradas DNS pendentes quando um site do Serviço de Aplicativo é encerrado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe e seu site está vulnerável a um controle de subdomínio. Essas proteções estarão disponíveis caso seus domínios sejam gerenciados usando o DNS do Azure ou um registrador de domínios externo. Além disso, elas se aplicam ao Serviço de Aplicativo no Windows e ao Serviço de Aplicativo no Linux.

Saiba mais:

Conectores multinuvem lançados para GA (Disponibilidade Geral)

Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.

A Central de Segurança do Azure protege as cargas de trabalho no Azure, na AWS (Amazon Web Services) e no GCP (Google Cloud Platform).

Conectar seus projetos da AWS ou da GCP integrará ferramentas de segurança nativas, como o AWS Security Hub e o Centro de Comando de Segurança da GCP, à Central de Segurança do Azure.

Essa funcionalidade significa que a Central de Segurança fornece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios dessa integração:

  • Provisionamento automático de agente – A Central de Segurança usa o Azure Arc para implantar o agente do Log Analytics nas instâncias da AWS
  • Gerenciamento de política
  • Gerenciamento de vulnerabilidades
  • Detecção e Resposta de Ponto de Extremidade Inserido (EDR)
  • Detecção de configurações incorretas de segurança
  • Uma exibição que mostra as recomendações de segurança de todos os provedores de nuvem
  • Incorporar todos os recursos aos cálculos de classificação de segurança da Central de Segurança
  • Avaliações de conformidade regulatória dos recursos da AWS e da GCP

No menu do Defender para Nuvem, selecione Conectores de várias nuvens e você verá as opções para criar conectores:

Botão Adicionar conta da AWS na página de conectores de várias nuvens da Central de Segurança

Saiba mais em:

Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento

Estamos expandindo a funcionalidade de isenção para incluir recomendações inteiras. Fornecendo mais opções para ajustar as recomendações de segurança que a Central de Segurança faz para as suas assinaturas, grupo de gerenciamento ou recursos.

Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que não foi detectada pela Central de Segurança. Ou uma recomendação será mostrada em um escopo no qual você acha que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados à recomendação ou ao recurso específico.

Com essa versão prévia do recurso, agora você pode criar uma isenção de uma recomendação para:

  • Isentar um recurso para garantir que ele não esteja listado com os recursos não íntegros no futuro e não afete a sua classificação de segurança. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.

  • Isente uma assinatura ou grupo de gerenciamento para garantir que a recomendação não afete a sua classificação de segurança e não seja mostrada para a assinatura ou grupo de gerenciamento no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você criar no futuro. A recomendação será marcada com a justificativa específica selecionada para o escopo que você selecionou.

Saiba mais em Isentando recursos e recomendações da sua classificação de segurança.

Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global

Caso não tenham permissões para conferir os dados da Central de Segurança, os usuários agora podem acessar um link para solicitar permissões ao administrador global da organização. A solicitação inclui a função que ele deseja e a justificativa do por que ela é necessária.

Faixa informando a um usuário que ele pode solicitar permissões em todo o locatário.

Saiba mais em Solicitar permissões em todo o locatário quando as suas forem insuficientes.

35 recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark

O Azure Security Benchmark é a iniciativa de política padrão na Central de Segurança do Azure.

Para aumentar a cobertura desse parâmetro de comparação, as 35 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança.

Dica

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Controle de segurança Novas recomendações
Habilitar a criptografia em repouso – As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
– Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– A proteção de dados do Bring Your Own Key será habilitada para servidores MySQL
– A proteção de dados do Bring Your Own Key será habilitada para servidores PostgreSQL
- As contas dos serviços de IA do Azure devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
– Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia
Implementar melhores práticas de segurança – As assinaturas devem ter um endereço de email de contato para problemas de segurança
- O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura
– A notificação por email para alertas de alta severidade deve ser habilitada
– A notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada
– Os cofres de chaves devem ter a proteção contra limpeza habilitada
– Os cofres de chaves devem ter a exclusão temporária habilitada
Gerenciar acesso e permissões – Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
Proteger os aplicativos contra DDoS – O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo
– O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço Azure Front Door Service
Restringir acesso não autorizado à rede – O firewall deve ser habilitado no Key Vault
– O ponto de extremidade privado deve ser configurado para o Key Vault
– A Configuração de Aplicativos deve usar um link privado
– O Cache do Azure para Redis deve residir em uma rede virtual
– Os domínios da Grade de Eventos do Azure devem usar um link privado
– Os tópicos da Grade de Eventos do Azure devem usar um link privado
– Os workspaces do Azure Machine Learning devem usar um link privado
– O Serviço do Azure SignalR deve usar um link privado
– O Azure Spring Cloud deve usar uma injeção de rede
– Os registros de contêiner não devem permitir acesso irrestrito à rede
– Os registros de contêiner devem usar um link privado
– O acesso à rede pública deve ser desabilitado para servidores MariaDB
– O acesso à rede pública deve ser desabilitado para servidores MySQL
– O acesso à rede pública deve ser desabilitado para servidores PostgreSQL
– A conta de armazenamento deve usar uma conexão de link privado
– As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual
– Os modelos do Construtor de Imagens de VM devem usar um link privado

Links relacionados:

Exportação de CSV da lista de recomendações filtrada

Em novembro de 2020, adicionamos filtros à página de recomendações.

Com este comunicado, estamos alterando o comportamento do botão Baixar para CSV para que a exportação de CSV inclua apenas as recomendações atualmente exibidas na lista filtrada.

Por exemplo, na imagem abaixo, você pode ver que a lista foi filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.

Como exportar recomendações filtradas para um arquivo CSV.

Saiba mais em Recomendações de segurança na Central de Segurança do Azure.

Recursos "não aplicáveis" que agora são relatados como "em conformidade" nas avaliações do Azure Policy

Anteriormente, os recursos avaliados com o objetivo de obter uma recomendação e considerados não aplicáveis eram mostrados como "não compatíveis" no Azure Policy. Nenhuma ação do usuário poderia alterar o estado deles para "Em conformidade". Com essa alteração, os recursos agora são relatados como "em conformidade" para maior clareza.

O único impacto será visto no Azure Policy, em que o número de recursos em conformidade aumentará. Não haverá nenhum impacto na sua classificação de segurança na Central de Segurança do Azure.

Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)

Adicionamos uma versão prévia do recurso às ferramentas de exportação contínua para exportar instantâneos semanais de classificação de segurança e dados de conformidade regulatória.

Ao definir uma exportação contínua, defina a frequência de exportação:

Como escolher a frequência da exportação contínua.

  • Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
  • Instantâneos – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado a cada semana (essa é uma versão prévia do recurso para instantâneos semanais de classificações de segurança e dados de conformidade regulatória).

Saiba mais sobre as funcionalidades completas desse recurso em Exportar continuamente os dados da Central de Segurança.

Dezembro de 2020

As atualizações de dezembro incluem:

O Azure Defender para SQL Servers em computadores está em disponibilidade geral

A Central de Segurança do Azure oferece dois planos do Azure Defender para SQL Servers:

  • Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
  • Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais

Com esse comunicado, o Azure Defender para SQL agora protege os seus bancos de dados e os dados neles, independentemente de onde eles estiverem localizados.

O Azure Defender para SQL inclui funcionalidades de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidade inclui os seguintes recursos avançados:

  • A Configuração de linha de base (novo!) refina de modo inteligente os resultados das verificações de vulnerabilidade, sinalizando aqueles que podem representar problemas de segurança reais. Depois de estabelecer o estado de segurança de linha de base, a ferramenta de avaliação de vulnerabilidade só relata desvios desse estado de linha de base. Os resultados que correspondem à linha de base são considerados ao passar nas verificações posteriores. Isso permite que você e os analistas concentrem a atenção onde importa.
  • As Informações detalhadas de benchmark ajudam você a entender as descobertas e por que elas se relacionam com os seus recursos.
  • Os Scripts de correção ajudam você a reduzir os riscos identificados.

Saiba mais sobre o Azure Defender para SQL.

O suporte do Azure Defender para SQL para o pool de SQL dedicado do Azure Synapse Analytics está em disponibilidade geral

O Azure Synapse Analytics (antigo SQL DW) é um serviço de análise que combina o data warehouse corporativo e a análise de Big Data. Os pools de SQL dedicados são os recursos de data warehouse corporativos do Azure Synapse. Saiba mais em O que é o Azure Synapse Analytics (antigo SQL DW)?.

O Azure Defender para SQL protege os seus pools de SQL dedicados com:

  • Proteção avançada contra ameaças para detectar ameaças e ataques
  • Funcionalidades de avaliação de vulnerabilidade para identificar e corrigir configurações incorretas de segurança

O suporte do Azure Defender para SQL para os pools de SQL do Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure na Central de Segurança do Azure. Há uma nova guia Azure Defender para SQL na página do workspace do Synapse no portal do Azure.

Saiba mais sobre o Azure Defender para SQL.

Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários

Um usuário com a função Administrador global no Azure Active Directory pode ter responsabilidades em todo o locatário, mas não ter as permissões do Azure para ver essas informações de toda a organização na Central de Segurança do Azure.

Para atribuir a si mesmo permissões no nível dos locatários, siga as instruções descritas em Conceder a si mesmo permissões em todo o locatário.

Dois novos planos do Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)

Adicionamos duas novas funcionalidades de proteção contra ameaças com abrangência nativa de nuvem para seu ambiente do Azure.

Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.

Nova página de alertas de segurança no portal do Azure (versão prévia)

A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:

  • Experiência de triagem aprimorada para alertas –ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento
  • Mais informações na lista de alertas – como táticas MITRE ATT&ACK
  • Botão para criar alertas de exemplo – para avaliar os recursos do Azure Defender e testar sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender
  • Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender um do outro
  • Melhores desempenho para listas grandes de alertas
  • Navegação por teclado na lista de alertas
  • Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.

Para acessar a nova experiência, use o link "Experimente agora" da faixa na parte superior da página de alertas de segurança.

Faixa com o link para a nova experiência de versão prévia de alertas.

Para criar alertas de exemplo na nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.

Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL

A experiência da Central de Segurança no SQL fornece acesso aos seguintes recursos da Central de Segurança e do Azure Defender para SQL:

  • Recomendações de segurança – A Central de Segurança analisa periodicamente o estado de segurança de todos os recursos do Azure conectados para identificar possíveis configurações incorretas na segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
  • Alertas de segurança – Um serviço de detecção que monitora continuamente as atividades do SQL do Azure em busca de ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Esse serviço dispara alertas de segurança detalhados e orientados à ação na Central de Segurança e fornece opções para continuar as investigações com o Azure Sentinel, a solução SIEM nativa do Azure da Microsoft.
  • Descobertas – Um serviço de avaliação de vulnerabilidade que monitora continuamente as configurações do SQL do Azure e ajuda a corrigir vulnerabilidades. As verificações de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure junto com as descobertas de segurança detalhadas.

Os recursos de segurança da Central de Segurança do Azure para SQL estão disponíveis no SQL do Azure

Ferramentas e filtros de inventário de ativos atualizados

A página de inventário na Central de Segurança do Azure foi atualizada com as seguintes alterações:

  • Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.

  • Filtro de assinaturas adicionado aos filtros padrão disponíveis para seus recursos.

  • Link Abrir consulta para abrir as opções de filtro atuais como uma consulta do Azure Resource Graph (anteriormente chamada de "Exibir no Resource Graph Explorer").

  • Opções de operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira localizar todos os recursos com recomendações ativas cujos títulos incluem a cadeia de caracteres "encrypt".

    Controles para a opção de operador nos filtros de inventário de ativos

Saiba mais sobre inventário em Explorar e gerenciar seus recursos com o inventário de ativos.

Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança

A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada" foi movida do controle de segurança Gerenciar o acesso e as permissões (vale no máximo quatro pontos) para Implementar as melhores práticas de segurança (que não vale nenhum ponto).

Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, é irrelevante. se você acessar seu site por HTTP e não por HTTPS, você não receberá nenhum certificado do cliente. Por isso, se o aplicativo exigir certificados de cliente, você não deverá permitir solicitações ao seu aplicativo via HTTP. Saiba mais em Como configurar a autenticação mútua TLS para o Serviço de Aplicativo do Azure.

Com essa alteração, a recomendação agora é uma prática recomendada que não afetará sua classificação.

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis

A Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e os padrões relevantes para sua organização, setor e país/região.

À medida que a Central de Segurança continua a expandir sua cobertura e seus recursos, a lista de recomendações de segurança cresce todos os meses. Por exemplo, confira Vinte e nove recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark.

Com a lista cada vez maior, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionamos filtros à página de recomendações (confira A lista de recomendações agora inclui filtros).

Os filtros adicionados neste mês fornecem opções para refinar a lista de recomendações de acordo com:

  • Ambiente – Exibir recomendações para seus recursos AWS, GCP ou Azure (ou qualquer combinação)

  • Severidade – Exibir recomendações de acordo com a classificação de severidade definida pela Central de Segurança

  • Ações de resposta – Exibir recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor

    Dica

    O filtro de ações de resposta substitui o filtro de correção rápida disponível (Sim/Não) .

    Saiba mais sobre cada uma dessas opções de resposta:

Recomendações agrupadas por controle de segurança.

A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas

As ferramentas de exportação contínua da Central de Segurança do Azure permitem exportar recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.

A exportação contínua permite que você personalize totalmente o que será exportado e o local da exportação. Para obter detalhes completos, confira Exportar continuamente dados da Central de Segurança.

Essas ferramentas foram aprimoradas e expandidas das seguintes maneiras:

  • Aprimoramento das políticas deployifnotexist da exportação contínua. As políticas agora:

    • Verificam se a configuração está habilitada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos do Azure Policy fornecidos na guia "Implantar em escala usando o Azure Policy" da opção Configurar uma exportação contínua.

    • Dão suporte à exportação de descobertas de segurança. Ao usar os modelos do Azure Policy, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações com "sub" recomendações, como as descobertas de verificações de avaliação de vulnerabilidade ou atualizações de sistema específicas para a recomendação "pai" "As atualizações do sistema devem ser instaladas em seus computadores".

    • Dão suporte à exportação de dados da classificação de segurança.

  • Dados de avaliação de conformidade regulatória adicionados (em versão prévia). Agora você pode exportar atualizações continuamente para avaliações de conformidade regulatória, incluindo para qualquer iniciativa personalizada, para um workspace do Log Analytics ou hub de eventos. Este recurso não está disponível em nuvens nacionais.

    As opções para incluir informações de avaliação de conformidade regulatória com os dados de exportação contínua.

Novembro de 2020

As atualizações de novembro incluem:

29 recomendações de versão prévia adicionadas para aumentar a cobertura do Parâmetro de Comparação de Segurança do Azure

O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Saiba mais sobre o Azure Security Benchmark.

As 29 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança para aumentar a cobertura desse parâmetro de comparação.

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Controle de segurança Novas recomendações
Criptografar dados em trânsito – Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL
– Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL
– O TLS deve estar atualizado com a última versão para o aplicativo de API
– O TLS deve estar atualizado com a última versão para o aplicativo de funções
– O TLS deve estar atualizado com a última versão para o aplicativo Web
– O FTPS deve ser exigido no aplicativo de API
– O FTPS deve ser exigido no aplicativo de funções
– O FTPS deve ser exigido no aplicativo Web
Gerenciar acesso e permissões – Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada
– A identidade gerenciada deve ser usada no aplicativo de API
– A identidade gerenciada deve ser usada no aplicativo de funções
– A identidade gerenciada deve ser usada no aplicativo Web
Restringir acesso não autorizado à rede – O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL
– O ponto de extremidade privado deve ser habilitado para servidores MariaDB
– O ponto de extremidade privado deve ser habilitado para servidores MySQL
– Habilitar a auditoria e o registro em log – Os logs de diagnóstico devem ser habilitados nos Serviços de Aplicativo
Implementar melhores práticas de segurança – O Backup do Azure deve ser habilitado para máquinas virtuais
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL
– O PHP deve estar atualizado com a última versão para o aplicativo de API
– O PHP deve estar atualizado com a última versão para o aplicativo Web
– O Java deve estar atualizado com a última versão para o aplicativo de API
– O Java deve estar atualizado com a última versão para o aplicativo de funções
– O Java deve estar atualizado com a última versão para o aplicativo Web
– O Python deve estar atualizado com a última versão para o aplicativo de API
– O Python deve estar atualizado com a última versão para o aplicativo de funções
– O Python deve estar atualizado com a última versão para o aplicativo Web
– A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias

Links relacionados:

NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança

O padrão NIST SP 800-171 R2 já está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de Conformidade Regulatória do NIST SP 800-171 R2.

Para aplicar o padrão às suas assinaturas e monitorar continuamente o status de conformidade, use as instruções presentes em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.

O padrão NIST SP 800 171 R2 no painel de conformidade regulatória da Central de Segurança

Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.

A lista de recomendações agora inclui filtros

Agora você pode filtrar a lista de recomendações de segurança com base em uma gama de critérios. No seguinte exemplo, a lista de recomendações foi filtrada para mostrar recomendações que:

  • estão em disponibilidade geral (ou seja, não em versão prévia)
  • são voltadas para contas de armazenamento
  • têm suporte para correção rápida

Filtros para a lista de recomendações.

Experiência de provisionamento automático aprimorada e expandida

O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs novas e existentes do Azure, a fim de que elas possam se beneficiar das proteções da Central de Segurança.

À medida que a Central de Segurança do Azure cresce, mais extensões são desenvolvidas e é possível monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático já foram expandidas para dar suporte a outras extensões e tipos de recursos aproveitando as funcionalidades do Azure Policy.

Agora você pode configurar o provisionamento automático de:

  • Agente do Log Analytics
  • (Novo) Azure Policy para Kubernetes
  • (Novo) Microsoft Dependency Agent

Saiba mais em Agentes e extensões de provisionamento automático da Central de Segurança do Azure.

A classificação de segurança já está disponível na exportação contínua (versão prévia)

Com a exportação contínua da classificação de segurança, você pode transmitir alterações à sua pontuação em tempo real para os Hubs de Eventos do Azure ou um workspace do Log Analytics. Use essa funcionalidade para:

  • acompanhar sua classificação de segurança ao longo do tempo com relatórios dinâmicos
  • exportar dados de classificação de segurança para o Azure Sentinel (ou qualquer outro SIEM)
  • integrar esses dados a qualquer processo que você já esteja usando para monitorar a classificação de segurança em sua organização

Saiba mais sobre como Exportar continuamente dados da Central de Segurança.

A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações

A recomendação As atualizações do sistema devem ser instaladas nos computadores foi aprimorada. A nova versão inclui sub-recomendações para cada atualização ausente e fornece os seguintes aprimoramentos:

  • Uma experiência reformulada nas páginas da Central de Segurança do Azure do portal do Azure. A página de detalhes da recomendação para As atualizações do sistema devem ser instaladas nos computadores inclui a lista de conclusões, conforme mostrado abaixo. Quando você seleciona uma localização individual, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.

    Como abrir uma das sub-recomendações na experiência do portal para obter uma recomendação atualizada.

  • Dados aprimorados para a recomendação do ARG (Azure Resource Graph). O ARG é um serviço do Azure que foi projetado para oferecer uma exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas a fim de controlar seu ambiente de maneira eficaz.

    Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança.

    Anteriormente, se você consultasse essa recomendação no ARG, a única informação disponível seria que a recomendação precisava ser corrigida em um computador. A consulta a seguir da versão aprimorada retornará todas as atualizações de sistema ausentes agrupadas por computador.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

A página de gerenciamento de política no portal do Azure agora mostra o status das atribuições de política padrão

Agora você pode ver se as suas assinaturas têm ou não a política padrão da Central de Segurança atribuída, na página da política de segurança da Central de Segurança do portal do Azure.

A página de gerenciamento de política da Central de Segurança do Azure mostrando as atribuições de política padrão.

Outubro de 2020

As atualizações de outubro incluem:

Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)

O verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores (da plataforma Qualys) agora examina servidores habilitados para Azure Arc.

Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.

Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.

Principais recursos:

  • Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
  • Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
  • Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
  • Experiência unificada para VMs do Azure e computadores do Azure Arc

Saiba mais sobre a implantação do verificador de vulnerabilidades integrado da Qualys em computadores híbridos.

Saiba mais sobre os servidores habilitados para Azure Arc.

Recomendação do Firewall do Azure adicionada (versão prévia)

Uma nova recomendação foi adicionada para proteger todas as suas redes virtuais com o Firewall do Azure.

A recomendação, Redes virtuais devem ser protegidas pelo Firewall do Azure, aconselha você a restringir o acesso às suas redes virtuais e evitar possíveis ameaças usando o Firewall do Azure.

Saiba mais sobre Firewall do Azure.

Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida

A recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes agora tem uma opção de correção rápida.

Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços de Kubernetes com a opção de correção rápida.

O painel de conformidade regulatória agora inclui a opção de remoção de padrões

O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a requisitos e controles de conformidade específicos.

O painel inclui um conjunto padrão de padrões regulatórios. Se um dos padrões fornecidos não é relevante para sua organização, removê-los da interface do usuário de uma assinatura passou a ser um processo simples. Os padrões podem ser removidos somente no nível da assinatura não no escopo do grupo de gerenciamento.

Saiba mais em Remover um padrão de seu painel.

Tabela Microsoft.Security/securityStatuses removida do ARG (Azure Resource Graph)

O Azure Resource Graph é um serviço no Azure desenvolvido para fornecer exploração de recursos eficiente, com a capacidade de consultar em escala um determinado conjunto de assinaturas, permitindo a você controlar o seu ambiente de maneira efetiva.

Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança. Por exemplo:

Há tabelas de dados no ARG que poderão ser usadas em suas consultas.

Azure Resource Graph Explorer e as tabelas disponíveis.

Dica

A documentação do ARG lista todas as tabelas disponíveis na Referência de tabela e tipo de recurso do Azure Resource Graph.

Nessa atualização, a tabela Microsoft.Security/securityStatuses foi removida. A API securityStatuses ainda está disponível.

A substituição de dados pode ser usada pela tabela Microsoft.Security/Assessments.

A principal diferença entre Microsoft.Security/securityStatuses e Microsoft.Security/Assessments é que, enquanto o primeiro mostra a agregação de avaliações, o segundo mantém um registro para cada uma.

Por exemplo, Microsoft.Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Enquanto Microsoft.Security/Assessments mantém um registro para cada avaliação de política, da seguinte maneira:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Exemplo de conversão de uma consulta de ARG existente usando securityStatuses para usar a tabela de avaliações:

Consulta que faz referência a SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Consulta de substituição para a tabela de Avaliações:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Saiba mais consultando os seguintes links:

Setembro de 2020

As atualizações de setembro incluem:

A Central de Segurança ganha uma nova aparência

Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para a classificação de segurança, o inventário de ativos e o Azure Defender.

A página de visão geral remodelada agora traz um bloco para acessar os painéis da classificação de segurança, do inventário de ativos e do Azure Defender. Também traz um bloco vinculado ao painel de conformidade regulatória.

Saiba mais sobre a página de visão geral.

Lançamento do Azure Defender

O Azure Defender é a PPCTN (plataforma de proteção de cargas de trabalho na nuvem) integrada à Central de Segurança para proteção avançada e inteligente das suas cargas de trabalho híbridas e do Azure. Ele substitui a opção de tipo de preço Standard da Central de Segurança.

Quando você habilita o Azure Defender na área Preços e configurações da Central de Segurança do Azure, os seguintes planos do Defender são todos habilitados simultaneamente e fornecem proteções abrangentes para as camadas de computação, dados e serviço do seu ambiente:

Cada um desses planos é explicado separadamente na documentação da Central de Segurança.

Com um painel dedicado, o Azure Defender fornece alertas de segurança e Proteção Avançada contra Ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede, entre outros.

Saiba mais sobre o Azure Defender

Azure Defender para Key Vault em disponibilidade geral

O Azure Key Vault é um serviço de nuvem que protege segredos e chaves de criptografia, como certificados, cadeias de conexão e senhas.

O Azure Defender para Key Vault fornece proteção avançada e nativa do Azure contra ameaças para o Azure Key Vault, oferecendo uma camada adicional de inteligência de segurança. Por extensão, o Azure Defender para Key Vault está, consequentemente, protegendo muitos dos recursos dependentes das suas contas do Key Vault.

Agora, o plano opcional é GA. Esse recurso estava em versão prévia como "proteção avançada contra ameaças para o Azure Key Vault".

Além disso, as páginas do Key Vault no portal do Azure agora incluem uma página Segurança dedicada para as recomendações e os alertas da Central de Segurança.

Saiba mais em Azure Defender para Key Vault.

Proteção do Azure Defender para Armazenamento para os Arquivos e o ADLS Gen2 em disponibilidade geral

O Azure Defender para Armazenamento detecta atividades potencialmente prejudiciais nas contas do Armazenamento do Azure. Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.

O suporte para os Arquivos do Azure e o Azure Data Lake Storage Gen2 já está em disponibilidade geral.

Desde 1º de outubro de 2020, começamos a cobrar pela proteção de recursos nesses serviços.

Saiba mais em Azure Defender para Armazenamento.

Ferramentas de inventário de ativos em disponibilidade geral

A página de inventário de ativos da Central de Segurança do Azure fornece uma só página para exibição da postura de segurança dos recursos que você conectou à Central de Segurança.

A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades.

Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.

Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.

Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais

O Azure Defender inclui verificadores de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure e nas suas máquinas virtuais.

Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Quando uma descoberta corresponde aos critérios definidos nas regras de desabilitação, ela não será exibida na lista de descobertas.

Essa opção está disponível nas páginas de detalhes de recomendações para:

  • As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas
  • As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas

Isentar um recurso de uma recomendação

Ocasionalmente, um recurso será listado como não íntegro em relação a uma recomendação específica (e, portanto, reduzindo sua classificação de segurança) mesmo que você ache que ele não deveria ser. Ele pode ter sido corrigido por um processo não acompanhado pela Central de Segurança. Ou, talvez, sua organização tenha decidido aceitar o risco para esse recurso específico.

Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Essas regras podem incluir justificações documentadas, conforme descrito abaixo.

Saiba mais em Isentar um recurso das recomendações e da classificação de segurança.

Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens

Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.

A Central de Segurança do Azure agora protege as cargas de trabalho no Azure, a AWS (Amazon Web Services) e o GCP (Google Cloud Platform).

Quando você integra projetos da AWS e do GCP na Central de Segurança, ele integra o AWS Security Hub, o GCP Security Command e a Central de Segurança do Azure.

Saiba mais em Conectar suas contas da AWS à Central de Segurança do Azure e Conectar seus projetos do GCP à Central de Segurança do Azure.

Pacote de recomendações da proteção de cargas de trabalho do Kubernetes

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Quando você instalar o Azure Policy para Kubernetes no seu cluster do AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.

Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.

Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.

Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua

Use a exportação contínua para transmitir alertas e recomendações aos Hubs de Eventos do Azure, aos espaços de trabalho do Log Analytics ou ao Azure Monitor. Neles, você pode integrar esses dados aos SIEMs (como o Azure Sentinel, o Power BI, o Azure Data Explorer, entre outros).

As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações práticas em uma recomendação "pai", por exemplo, "As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas".

As descobertas de segurança já estão disponíveis para exportação por meio da exportação contínua quando você seleciona as recomendações e habilita a opção Incluir descobertas de segurança.

Incluir a alternância de descobertas de segurança na configuração de exportação contínua.

Páginas relacionadas:

Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos

Configurações incorretas de segurança são uma das principais causas de incidentes de segurança. Agora a Central de Segurança pode ajudar a impedir configurações incorretas de novos recursos, com relação a recomendações específicas.

Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua classificação de segurança.

Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:

  • Usando o modo negado do Azure Policy, você pode impedir que recursos não íntegros sejam criados

  • Usando a opção imposta, você pode aproveitar o efeito DeployIfNotExist do Azure Policy e corrigir automaticamente os recursos não compatíveis após a criação

Isso está disponível para as recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.

Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar.

Aprimoramento das recomendações de grupo de segurança de rede

As recomendações de segurança a seguir relacionadas aos grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.

  • Todas as portas de rede devem ser restritas no NSG associado à sua VM
  • Portas de gerenciamento devem ser fechadas nas máquinas virtuais
  • As máquinas virtuais para a Internet devem ser protegidas com Grupos de Segurança de Rede
  • As sub-redes devem ser associadas a um Grupo de Segurança de Rede

Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"

A recomendação de versão prévia "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes" está sendo preterida, conforme descrito na documentação do Serviço de Kubernetes do Azure.

O recurso da política de segurança de pods (versão prévia) foi configurado para ser substituído e não está mais disponível desde 15 de outubro de 2020 a fim de beneficiar o Azure Policy para AKS.

Depois que a política de segurança de pods (versão prévia) for preterida, você precisará desabilitar o recurso em todos os clusters existentes usando o recurso preterido para realizar futuras atualizações de cluster e permanecer dentro do suporte do Azure.

Aprimoramento nas notificações por email da Central de Segurança do Azure

As seguintes áreas dos emails relacionadas a alertas de segurança foram aprimoradas:

  • Adição da capacidade de enviar notificações por email sobre alertas para todos os níveis de severidade
  • Adição da capacidade de notificar os usuários com diferentes funções do Azure na assinatura
  • Por padrão, estamos notificando de maneira proativa os proprietários da assinatura em alertas de alta severidade (que têm uma alta probabilidade de serem violações autênticas)
  • Removemos o campo de número de telefone da página de configuração das notificações de email

Saiba mais em Configurar notificações por email para alertas de segurança.

A classificação de segurança não inclui recomendações de versão prévia

A Central de Segurança avalia continuamente seus recursos, suas assinaturas e a organização em busca de problemas de segurança. Em seguida, ele agrega todas as conclusões em uma única pontuação para que você possa ver, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.

À medida que novas ameaças são descobertas, novas orientações de segurança são disponibilizadas na Central de Segurança por meio de novas recomendações. Para evitar alterações de surpresa na sua classificação de segurança e fornecer um período de cortesia no qual você possa explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Versão prévia não serão mais incluídas nos cálculos da sua classificação de segurança. Elas ainda deverão ser corrigidas sempre que possível, para que, quando o período de versão prévia terminar, elas contribuam para a sua classificação.

Além disso, as recomendações de Versão prévia não renderizam um recurso "Não íntegro".

Um exemplo de recomendação de versão prévia:

Recomendação com o sinalizador de versão prévia.

Saiba mais sobre a classificação de segurança.

As recomendações agora incluem um indicador de severidade e o intervalo de atualização

A página de detalhes de recomendações agora inclui um indicador de intervalo de atualização (quando relevante) e uma exibição clara da severidade da recomendação.

Página de recomendações mostrando a atualização e a severidade.

Agosto de 2020

As atualizações de agosto incluem:

Inventário de ativos: nova exibição avançada da postura de segurança dos ativos

O inventário de ativos da Central de Segurança (atualmente em versão prévia) fornece uma forma de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.

A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.

Use a exibição e os respectivos filtros para explorar seus dados de postura de segurança e realizar ações adicionais com base nas descobertas.

Saiba mais sobre o inventário de ativos.

Adição de suporte para padrões de segurança do Azure Active Directory (para autenticação multifator)

A Central de Segurança adicionou suporte completo para os padrões de segurança, as proteções gratuitas de segurança de identidade da Microsoft.

Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização contra ataques comuns relacionados à identidade. Os padrões de segurança já estão protegendo mais de 5 milhões de locatários em geral; 50 mil locatários também estão protegidos pela Central de Segurança.

Agora, a Central de Segurança fornece uma recomendação de segurança sempre que identifica uma assinatura do Azure sem os padrões de segurança habilitados. Até agora, a Central de Segurança recomenda habilitar a autenticação multifator usando o acesso condicional, que faz parte da licença Premium do Azure AD (Active Directory). Para os clientes que usam o Azure AD gratuito, agora recomendamos habilitar os padrões de segurança.

Nossa meta é encorajar mais clientes a proteger ambientes de nuvem com a MFA e atenuar um dos maiores riscos que também é o mais impactante para a sua classificação de segurança.

Saiba mais sobre segurança os padrões de segurança.

Adição da recomendação de entidades de serviço

Uma nova recomendação foi adicionada a fim de aconselhar os clientes da Central de Segurança que usam certificados de gerenciamento para gerenciar suas assinaturas mudem para as entidades de serviço.

A recomendação As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento aconselha você a usar as entidades de serviço ou o Azure Resource Manager para gerenciar suas assinaturas com mais segurança.

Saiba mais sobre os Objetos de entidade de serviço e aplicativo no Azure Active Directory.

Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas

A Central de Segurança inspeciona suas VMs para detectar se estão executando uma solução de avaliação de vulnerabilidades. Se nenhuma solução de avaliação de vulnerabilidades for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.

Quando as vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir, conforme necessário.

Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de verificador que estão usando, unificamos quatro recomendações nas duas seguintes:

Recomendação unificada Descrição das alterações
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Substitui as duas seguintes recomendações:
***** Habilitar a solução interna de avaliação de vulnerabilidades em máquinas virtuais (ativada pela Qualys) (agora preterida) (incluída na camada Standard)
**** A solução de avaliação de vulnerabilidades deve ser instalada nas máquinas virtuais (agora preterida) (Camadas Standard e Gratuita)
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas Substitui as duas seguintes recomendações:
***** Corrija as vulnerabilidades encontradas nas máquinas virtuais (ativada pela Qualys) (agora preterida)
***** As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades (agora preterida)

Agora, você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidades da Central de Segurança ou uma solução de licença privada ("BYOL") de um parceiro, como a Qualys ou a Rapid7.

Além disso, quando as vulnerabilidades forem encontradas e relatadas à Central de Segurança, uma só recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidades que as identificou.

Como atualizar dependências

Se você tiver scripts, consultas ou automações referentes às recomendações ou aos nomes/às chaves de política anteriores, use as tabelas abaixo para atualizar as referências:

Antes de agosto de 2020
Recomendação Escopo
Habilitar a solução interna de avaliação de vulnerabilidades nas máquinas virtuais (ativada pela Qualys)
Chave: 550e890b-e652-4d22-8274-60b3bdb24c63
Interno
Corrija as vulnerabilidades encontradas em suas máquinas virtuais (da plataforma Qualys)
Chave: 1195afff-c881-495e-9bc5-1486211ae03f
Interno
A solução de avaliação de vulnerabilidades deve ser instalada nas suas máquinas virtuais
Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades
Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Política Escopo
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais
ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Interno
As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades
ID da política: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
A partir de agosto de 2020
Recomendação Escopo
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais
Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d
Interno + BYOL
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Chave: 1195afff-c881-495e-9bc5-1486211ae03f
Interno + BYOL
Política Escopo
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais
ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Interno + BYOL

Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

A fase inicial deste projeto inclui uma visualização e a adição de novas políticas (desabilitadas por padrão) à iniciativa ASC_default.

Você poderá ignorar essas políticas com segurança e não haverá nenhum impacto no seu ambiente. Se você quiser habilitá-las, inscreva-se na versão prévia na Microsoft Cloud Security Private Community e escolha uma das seguintes opções:

  1. Visualização única – Para ingressar apenas nesta visualização. Mencione explicitamente “Verificação contínua do ASC” como a versão prévia na qual deseja ingressar.
  2. Programas em andamento – para ser adicionado a esta e às futuras versões prévias privadas. Você precisará preencher um perfil e assinar um contrato de privacidade.

Julho de 2020

As atualizações de julho incluem:

A avaliação de vulnerabilidades para máquinas virtuais já está disponível para imagens que não são do marketplace

Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. O objetivo da verificação era confirmar um SKU do marketplace da máquina virtual de destino.

Dessa atualização em diante, a verificação foi removida e agora você pode implantar ferramentas de avaliação de vulnerabilidades em computadores Windows e Linux ''personalizados''. As imagens personalizadas são aquelas que você modificou dos padrões do marketplace.

Embora você possa implantar a extensão integrada de avaliação de vulnerabilidades (ativada pela Qualys) em muitos outros computadores, o suporte só estará disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs da camada Standard

Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (exige o Azure Defender).

Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada de forma privada da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidades de parceiros.

Expansão da proteção contra ameaças para o Armazenamento do Azure para incluir os Arquivos do Azure e o Azure Data Lake Storage Gen2 (versão prévia)

A proteção contra ameaças para o Armazenamento do Azure detecta atividades potencialmente prejudiciais nas suas contas do Armazenamento do Azure. A Central de Segurança exibe alertas quando detecta tentativas de acessar ou explorar suas contas de armazenamento.

Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.

Oito novas recomendações para habilitar os recursos de proteção contra ameaças

Oito novas recomendações foram adicionadas para fornecer uma forma simples de habilitar os recursos de proteção contra ameaças da Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, Planos do Serviço de Aplicativo, servidores do Banco de Dados SQL do Azure, SQL Servers em computadores, contas do Armazenamento do Azure, clusters do Serviço de Kubernetes do Azure, registros do Registro de Contêiner do Azure e cofres do Azure Key Vault.

As novas recomendações são:

  • A Segurança de Dados Avançada deve ser habilitada nos servidores do Banco de Dados SQL do Azure
  • A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores
  • A Proteção Avançada contra Ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada nos cofres do Azure Key Vault
  • A Proteção Avançada contra Ameaças deve ser habilitada nos clusters do Serviço de Kubernetes do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada em contas de Armazenamento do Azure
  • A Proteção Avançada contra Ameaças deve estar habilitada nas máquinas virtuais

As recomendações também incluem a funcionalidade de correção rápida.

Importante

A correção de uma dessas recomendações resultará em custos para proteger os recursos relevantes. Esses custos serão iniciados imediatamente se você tiver recursos relacionados na assinatura atual. Ou, no futuro, se você adicioná-los em uma data posterior.

Por exemplo, se você não tiver nenhum cluster do Serviço de Kubernetes do Azure na sua assinatura e habilitar a proteção contra ameaças, nenhum custo será cobrado. Se, no futuro, você adicionar um cluster na mesma assinatura, ela será automaticamente protegida e os custos serão iniciados nesse momento.

Saiba mais sobre a proteção contra ameaças na Central de Segurança do Azure.

Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação

Como parte dos investimentos contínuos no domínio de segurança do contêiner, temos o prazer em compartilhar um aprimoramento significativo de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas no Registro de Contêiner do Azure. Agora, as verificações normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, elas podem levar até 15 minutos.

Para aprimorar a clareza e as diretrizes sobre as funcionalidades de segurança do contêiner da Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança do contêiner.

Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho

O recurso de controles de aplicativos adaptáveis recebeu duas atualizações significativas:

  • Uma nova recomendação identifica o comportamento potencialmente legítimo que não era permitido antes. A nova recomendação, As regras de lista de permissões na sua política de controle de aplicativos adaptáveis deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativos adaptáveis.

  • Agora, as regras de caminho dão suporte a curingas. A partir dessa atualização, você pode configurar as regras de caminho permitidas usando curingas. Há dois cenários compatíveis:

    • Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.

    • Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta alterado (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pasta gerados automaticamente etc.).

Seis políticas para a reprovação da Segurança de Dados Avançada do SQL

Seis políticas relacionadas à Segurança de Dados Avançada para computadores SQL estão sendo preteridas:

  • Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada da Instância Gerenciada de SQL
  • Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada do SQL Server
  • As configurações da Segurança de Dados Avançada para a instância gerenciada do SQL devem conter um endereço de email para receber alertas de segurança
  • As configurações da Segurança de Dados Avançada para o SQL Server devem conter um endereço de email para receber alertas de segurança
  • As notificações por email para administradores e proprietários de assinatura devem ser habilitadas nas configurações da Segurança de Dados Avançada da instância gerenciada do SQL
  • As notificações por email para os administradores e proprietários de assinaturas devem ser habilitadas nas configurações da Segurança de Dados Avançada do SQL Server

Saiba mais sobre as políticas internas.

Junho de 2020

As atualizações de junho incluem:

API de classificação de segurança (versão prévia)

Agora você pode acessar sua classificação por meio da API de classificação de segurança (atualmente em versão prévia). Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo, você pode usar a API de Classificações de Segurança para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas.

Para obter exemplos de ferramentas externas possibilitadas com a API de classificação de segurança, confira a área de classificação de segurança da nossa comunidade do GitHub.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

Segurança de dados avançada para computadores SQL (Azure, outras nuvens e local) (versão prévia)

A Segurança de Dados Avançada da Central de Segurança do Azure para computadores SQL agora protege os SQL Servers hospedados no Azure, em outros ambientes de nuvem e, até mesmo, em computadores locais. Isso estende as proteções para que os SQL Servers nativos do Azure deem suporte completo a ambientes híbridos.

A Segurança de Dados Avançada fornece avaliação de vulnerabilidades e Proteção Avançada contra Ameaças para computadores SQL onde quer que estejam.

A configuração envolve duas etapas:

  1. Implantar o agente do Log Analytics no computador host do SQL Server para fornecer a conexão à conta do Azure.

  2. Habilitar o pacote opcional na página de preços e configurações da Central de Segurança.

Saiba mais sobre a Segurança de Dados Avançada para computadores SQL.

Duas novas recomendações para implantar o agente do Log Analytics em computadores do Azure Arc (versão prévia)

Duas novas recomendações foram adicionadas para ajudar a implantar o agente do Log Analytics nos computadores do Azure Arc e garantir que eles estejam protegidos pela Central de Segurança do Azure:

  • O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados no Windows (versão prévia)
  • O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados em Linux (versão prévia)

Essas novas recomendações serão exibidas nos mesmos quatro controles de segurança da recomendação existente (relacionada), O agente de monitoramento deve ser instalado nos computadores: corrigir as configurações de segurança, aplicar o controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de ponto de extremidade.

As recomendações também incluem a funcionalidade de correção rápida para acelerar o processo de implantação.

Saiba mais sobre como a Central de Segurança do Azure usa o agente em O que é o agente do Log Analytics?.

Saiba mais sobre as extensões para computadores do Azure Arc.

Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala

A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.

Para implantar suas configurações de automação na sua organização, use essas políticas internas do Azure 'DeployIfdNotExist' para criar e configurar procedimentos de exportação contínua e automação de fluxo de trabalho:

As definições da política podem ser encontradas no Azure Policy:

Goal Política ID da Política
Exportação contínua para o hub de eventos Implantar a exportação para o Hub de Eventos para os alertas e as recomendações Central de Segurança do Azure cdfcce10-4578-4ecd-9703-530938e4abcb
Exportação contínua para o workspace do Log Analytics Implantar a exportação para o workspace do Log Analytics para os alertas e as recomendações da Central de Segurança do Azure ffb6f416-7bd2-4488-8828-56585fef2be9
Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure 73d6ab6c-2475-4850-afd6-43795f3492ef

Introdução aos modelos de automação de fluxo de trabalho.

Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação de fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.

Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet

O controle de segurança "Implementar melhores práticas de segurança" agora inclui a seguinte nova recomendação:

  • Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede

Uma recomendação existente, As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distingue entre as VMs voltadas para a Internet e aquelas não voltadas para a Internet. Para ambas, uma recomendação de alta severidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Essa nova recomendação separa os computadores não voltados para a Internet para reduzir os falsos positivos e evitar alertas de alta severidade desnecessários.

Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada

As novas definições de política abaixo foram adicionadas à iniciativa Padrão ASC e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança de dados avançada dos tipos de recursos relevantes.

As definições da política podem ser encontradas no Azure Policy:

Política ID da Política
A Segurança de Dados Avançada deve ser habilitada nos servidores do Banco de Dados SQL do Azure 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores 6581d072-105e-4418-827f-bd446d56421b
A Proteção Avançada contra Ameaças deve ser habilitada em contas de Armazenamento do Azure 308fbb08-4ab8-4e67-9b29-592e93fb94fa
A Proteção Avançada contra Ameaças deve ser habilitada nos cofres do Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
A Proteção Avançada contra Ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure 2913021d-f2fd-4f3d-b958-22354e2bdbcb
A Proteção Avançada contra Ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
A Proteção Avançada contra Ameaças deve ser habilitada nos clusters do Serviço de Kubernetes do Azure 523b5cd1-3e23-492f-a539-13118b6d1e3a
A proteção avançada contra ameaças deve ser habilitada nas Máquinas Virtuais 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Saiba mais sobre a Proteção contra ameaças na Central de Segurança do Azure.

Maio de 2020

As atualizações de maio incluem:

Regras de supressão de alertas (versão prévia)

Esse novo recurso (atualmente em versão prévia) ajuda a reduzir a fadiga causada por alertas. Use regras para ocultar automaticamente os alertas que são conhecidos como inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.

Os alertas que corresponderem às regras de supressão habilitadas ainda serão gerados, mas o estado deles será definido como ignorado. Você poderá ver o estado no portal do Azure ou de qualquer outra maneira que você acessar os alertas de segurança da Central de Segurança.

As regras de supressão definem os critérios para os quais os alertas devem ser automaticamente ignorados. Normalmente, você usaria uma regra de supressão para:

  • suprimir alertas que você identificou como falsos positivos

  • suprimir alertas que estão sendo disparados com frequência demais para serem úteis

Saiba mais sobre a supressão de alertas da Proteção contra Ameaças da Central de Segurança do Azure.

A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral

A camada Standard da Central de Segurança agora inclui uma avaliação de vulnerabilidade integrada para máquinas virtuais sem cobrança de nenhum valor adicional. Essa extensão é da plataforma Qualys, mas relata as descobertas dela diretamente para a Central de Segurança. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança.

A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.

Para implantar a solução, use a nova recomendação de segurança:

"Habilitar a solução de avaliação de vulnerabilidades interna nas máquinas virtuais (da plataforma Qualys)"

Saiba mais sobre avaliação de vulnerabilidade integrada da Central de Segurança para máquinas virtuais.

Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)

A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.

Essa atualização traz as seguintes alterações para esse recurso:

  • A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time".

  • A recomendação é disparada somente se há portas de gerenciamento abertas.

Saiba mais sobre o recurso de acesso JIT.

As recomendações personalizadas foram movidas para um controle de segurança separado

Um dos controles de segurança introduzidos com a classificação de segurança aprimorada foi "Implementar melhores práticas de segurança". Todas as recomendações personalizadas criadas para suas assinaturas foram colocadas automaticamente nesse controle.

Para facilitar a localização de suas recomendações personalizadas, as movemos para um controle de segurança dedicado, "Recomendações personalizadas". Este controle não tem impacto sobre sua classificação de segurança.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.

Adicionada alternância para exibir recomendações em controles ou como uma lista simples

Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controle é um conjunto de recomendações de segurança, com instruções que ajudam a implementar essas recomendações.

Para ver imediatamente como sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança.

Por padrão, suas recomendações são mostradas nos controles de segurança. Nesta atualização em diante, você também pode vê-las como uma lista. Para vê-las como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova alternância 'Agrupar por controles'. A alternância está acima da lista no portal.

Os controles de segurança (e essa alternância) são parte da nova experiência de classificação de segurança. Lembre-se de enviar seus comentários de dentro do portal.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.

Alternância de agrupar por controles para recomendações.

Controle de segurança expandido "Implementar melhores práticas de segurança"

Um dos controles de segurança introduzidos com a classificação de segurança aprimorada é "Implementar melhores práticas de segurança". Quando uma recomendação está nesse controle, ela não afeta a classificação de segurança.

Com essa atualização, três recomendações foram movidas dos controles nos quais foram originalmente colocadas e transferidas para esse controle de práticas recomendadas. Realizamos esta etapa porque determinamos que o risco dessas três recomendações é menor do que se imaginava inicialmente.

Além disso, duas novas recomendações foram introduzidas e adicionadas a esse controle.

As três recomendações que foram movidas são:

  • A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura (originalmente, no controle "Habilitar MFA")
  • Contas externas com permissões de leitura devem ser removidas de sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
  • Um máximo de três proprietários deve ser designado para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")

As duas novas recomendações adicionadas ao controle são:

  • O agente de configuração convidado deve ser instalado em máquinas virtuais do Windows (versão prévia) : o uso da Configuração de Convidado do Azure Policy fornece visibilidade nas máquinas virtuais das configurações de servidor e de aplicativo (somente Windows).

  • O Microsoft Defender Exploit Guard deve ser habilitado nos computadores (versão prévia) : o Microsoft Defender Exploit Guard utiliza o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).

Saiba mais sobre o Microsoft Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia).

Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral

As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da classificação de segurança e do painel de padrões de conformidade regulatória. Esse recurso agora está em disponibilidade geral e permite que você estenda a cobertura de avaliação de segurança da sua organização na Central de Segurança.

Crie uma iniciativa personalizada no Azure Policy, adicione políticas a ela, integre-a à Central de Segurança do Azure e visualize-a como recomendações.

Agora também adicionamos a opção para editar os metadados de recomendação personalizados. As opções de metadados incluem severidade, etapas de correção, informações sobre ameaças e muito mais.

Saiba mais sobre como aprimorar as recomendações personalizadas com informações detalhadas.

Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos

Estamos integrando as funcionalidades de detecção do CDA (análise de despejo de memória) do Windows à detecção de ataque sem arquivos. A análise de detecção de ataque sem arquivos acompanha versões aprimoradas dos seguintes alertas de segurança para computadores Windows: Injeção de código descoberta, Módulo do Windows disfarçado detectado, Shellcode descoberto e Segmento de código suspeito detectado.

Alguns dos benefícios dessa transição:

  • Detecção de malware proativa e oportuna: a abordagem da CDA envolvia a espera da ocorrência de uma falha e a posterior execução da análise para encontrar artefatos mal-intencionados. O uso da detecção de ataque sem arquivos introduz a identificação proativa de ameaças na memória enquanto elas estão em execução.

  • Alertas aprimorados – os alertas de segurança da detecção de ataque sem arquivos incluem aprimoramentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.

  • Agregação de alerta – quando o CDA detecta vários padrões de ataque em um despejo de memória, ele disparou vários alertas de segurança. A detecção de ataque sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um alerta, eliminando a necessidade de correlacionar vários alertas.

  • Requisitos reduzidos em seu workspace do Log Analytics – despejos de memória que contêm dados potencialmente confidenciais não serão mais carregados em seu workspace do Log Analytics.

Abril de 2020

As atualizações de abril incluem:

Os pacotes de conformidade dinâmica agora estão em disponibilidade geral

O painel de conformidade regulatória da Central de Segurança do Azure agora inclui pacotes de conformidade dinâmica (agora em disponibilidade geral) para acompanhar padrões adicionais do setor e regulatórios.

Os pacotes de conformidade dinâmica podem ser adicionados à sua assinatura ou grupo de gerenciamento na página política de segurança da Central de Segurança. Quando você tiver integrado um padrão ou um parâmetro de comparação, o padrão será exibido em seu painel de conformidade regulatória com todos os dados de conformidade associados mapeados como avaliações. Um relatório de resumo para qualquer um dos padrões que foram integrados estará disponível para download.

Agora, você pode adicionar padrões como:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official e UK NHS
  • PBMM Federal do Canadá
  • Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)

Além disso, adicionamos recentemente o Azure Security Benchmark, as diretrizes específicas do Azure criadas pela Microsoft para melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Outros padrões se tornarão compatíveis com o painel à medida que forem disponibilizados.

Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure

As recomendações de segurança para identidade e acesso na camada gratuita da Central de Segurança do Azure agora estão em disponibilidade geral. Isso faz parte do esforço para tornar gratuitos os recursos do CSPM (Gerenciamento da situação de segurança na nuvem). Até agora, essas recomendações só estavam disponíveis no tipo de preço Standard.

Exemplos de recomendações de identidade e acesso incluem:

  • "A MFA deve ser habilitada em contas com permissões de proprietário em sua assinatura."
  • "Um máximo de três proprietários deve ser designado para sua assinatura."
  • "As contas preteridas devem ser removidas de sua assinatura."

Se você tiver assinaturas no tipo de preço gratuito, suas classificações de segurança serão afetadas por essa alteração, pois essas assinaturas nunca foram avaliadas quanto à identidade e segurança de acesso.

Março de 2020

As atualizações de março incluem:

A automação do fluxo de trabalho já está em disponibilidade geral

O recurso de automação de fluxo de trabalho da Central de Segurança do Azure agora está em disponibilidade geral. Use-o para disparar automaticamente Aplicativos Lógicos em alertas de segurança e recomendações. Além disso, os gatilhos manuais estão disponíveis para alertas e todas as recomendações que têm a opção de correção rápida disponível.

Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga e pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.

Para obter mais informações sobre as funcionalidades automáticas e manuais da Central de Segurança do Azure para executar seus fluxos de trabalho, confira automação de fluxo de trabalho.

Saiba mais sobre a criação de Aplicativos Lógicos.

Integração da Central de Segurança do Azure ao Windows Admin Center

Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para a Central de Segurança do Azure. A Central de Segurança se torna seu único painel de controle para ver informações de segurança para todos os seus recursos do Windows Admin Center, incluindo servidores locais, máquinas virtuais e cargas de trabalho de PaaS adicionais.

Depois de mover um servidor do Windows Admin Center para a Central de Segurança do Azure, você poderá:

  • Exibir alertas de segurança e recomendações na extensão da Central de Segurança do Windows Admin Center.
  • Exibir a postura de segurança e recuperar informações detalhadas adicionais dos servidores gerenciados do Windows Admin Center na Central de Segurança dentro do portal do Azure (ou por meio de uma API).

Saiba mais sobre como integrar a Central de Segurança do Azure ao Windows Admin Center.

Proteção para o Serviço de Kubernetes do Azure

A Central de Segurança do Azure está expandindo os respectivos recursos de segurança de contêiner para proteger o AKS (Serviço de Kubernetes do Azure).

A popular plataforma de código aberto Kubernetes foi adotada tão amplamente que ela agora é um padrão do setor para a orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de um aplicativo em contêineres exige experiência para garantir que a infraestrutura seja configurada de modo seguro e constante para possíveis ameaças.

A defesa da Central de Segurança inclui:

  • Descoberta e visibilidade – descoberta contínua de instâncias gerenciadas do AKS nas assinaturas registradas na Central de Segurança.
  • Recomendações de segurança – recomendações acionáveis para ajudá-lo a manter a conformidade com as melhores práticas de segurança para o AKS. Essas recomendações estão incluídas na sua classificação de segurança para garantir que elas sejam exibidas como parte da postura de segurança de sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster do serviço do Kubernetes".
  • Proteção contra ameaças – por meio da análise contínua de sua implantação do AKS, a Central de Segurança alerta você sobre ameaças e atividades mal-intencionadas detectadas no nível de cluster do host e do AKS.

Saiba mais sobre a Integração do Serviço de Kubernetes do Azure à Central de Segurança.

Saiba mais sobre os recursos de segurança de contêiner na Central de Segurança.

Experiência Just-In-Time aprimorada

Os recursos, a operação e a interface do usuário das ferramentas just-in-time da Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimoradas da seguinte maneira:

  • Campo de justificativa – ao solicitar acesso a uma VM (máquina virtual) por meio da página Just-In-Time do portal do Azure, um novo campo opcional estará disponível para inserir uma justificativa para a solicitação. As informações inseridas nesse campo podem ser acompanhadas no log de atividades.
  • Limpeza automática de regras JIT (Just-In-Time) redundantes – sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura incompatibilidades entre as regras em sua política e as regras no NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determinará a causa e, quando for seguro, removerá as regras internas que não forem mais necessárias. O limpador nunca exclui regras que você criou.

Saiba mais sobre o recurso de acesso JIT.

Duas recomendações de segurança para aplicativos Web preteridas

Duas recomendações de segurança relacionadas a aplicativos Web estão sendo preteridas:

  • As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas. (Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser fortalecidas)

  • O acesso aos Serviços de Aplicativos deve ser restrito. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [Versão Prévia])

Essas recomendações não serão mais exibidas na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".

Fevereiro de 2020

Detecção de ataque sem arquivos para Linux (versão prévia)

Já que os invasores usam métodos cada vez mais difíceis de detectar, a Central de Segurança do Azure está estendendo a detecção de ataque sem arquivos para o Linux, além do Windows. Ataques sem arquivos exploram vulnerabilidades de software, injetam cargas mal-intencionadas em processos de sistema benignos e ficam ocultos na memória. Essas técnicas:

  • minimizam ou eliminam sinais de malware no disco
  • reduzem significativamente as chances de detecção por soluções de verificação de malware baseadas em disco

Para combater essa ameaça, a Central de Segurança do Azure liberou a detecção de ataque sem arquivos para Windows em outubro de 2018 e agora ampliou a detecção de ataque sem arquivos para o Linux também.

Janeiro de 2020

Classificação de segurança aprimorada (versão prévia)

Uma versão aprimorada do recurso de classificação de segurança da Central de Segurança do Azure agora está disponível em versão prévia. Nesta versão, várias recomendações são agrupadas em Controles de Segurança que refletem melhor suas superfícies de ataque vulneráveis (por exemplo, restringir o acesso às portas de gerenciamento).

Familiarize-se com as alterações classificação de segurança durante a fase de versão prévia e determine outras correções que o ajudarão a proteger ainda mais seu ambiente.

Saiba mais sobre a classificação de segurança aprimorada (versão prévia).

Novembro de 2019

As atualizações de novembro incluem:

Proteção contra ameaças para Azure Key Vault nas regiões da América do Norte (versão prévia)

O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicativos na nuvem, oferecendo a capacidade de gerenciar centralmente chaves, segredos, chaves de criptografia e políticas na nuvem. Como o Azure Key Vault armazena dados confidenciais e críticos para os negócios, ele exige segurança máxima para os cofres de chaves e os dados armazenados neles.

O suporte da Central de Segurança do Azure para proteção contra ameaças para o Azure Key Vault oferece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Essa nova camada de proteção permite que os clientes resolvam ameaças contra seus cofres de chaves sem serem especialistas em segurança ou gerenciar sistemas de monitoramento de segurança. O recurso está em versão preliminar pública em regiões da América do Norte.

A Proteção contra Ameaças para o Armazenamento do Microsoft Azure inclui Triagem de Reputação de Malware

A proteção contra ameaças para o Armazenamento do Azure oferece novas detecções alimentadas pela Inteligência contra Ameaças da Microsoft para detectar carregamentos de malware no Armazenamento do Azure usando análise de reputação de hash e acesso suspeito de um nó de saída de Tor ativo (um proxy de anonimato). Agora você pode ver o malware detectado em contas de armazenamento usando a Central de Segurança do Azure.

Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)

As organizações com segurança gerenciada centralmente e TI/operações implementam processos de fluxo de trabalho integrados para impulsionar a ação necessária na organização quando as discrepâncias são descobertas em seus ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis, e a automação pode simplificar muito os processos na organização.

Hoje, estamos introduzindo um novo recurso na Central de Segurança que permite que os clientes criem configurações de automação aproveitando os Aplicativos Lógicos do Azure e criem políticas que vão dispará-los automaticamente com base em descobertas de ASC específicas, como Recomendações ou Alertas. O Aplicativo Lógico do Azure pode ser configurado para realizar qualquer ação personalizada com suporte pela vasta comunidade de conectores de Aplicativos Lógicos ou usar um dos modelos fornecidos pela Central de Segurança, como enviar um email ou abrir um tíquete de do ServiceNow™.

Para obter mais informações sobre as funcionalidades automáticas e manuais da Central de Segurança do Azure para executar seus fluxos de trabalho, confira automação de fluxo de trabalho.

Para saber mais sobre a criação de Aplicativos Lógicos, consulte Aplicativos Lógicos do Azure.

Correção rápida para recursos em massa disponíveis para o público geral

Com as muitas tarefas que um usuário recebe como parte da Classificação de Segurança, a capacidade de corrigir efetivamente os problemas em um grande frota pode se tornar desafiador.

Use a Correção Rápida para corrigir configurações incorretas de segurança, corrigir recomendações em vários recursos e melhorar sua pontuação de segurança.

Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.

A Correção Rápida geralmente está disponível para clientes atuais como parte da página de recomendações da Central de Segurança.

Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)

A Central de Segurança do Azure agora pode verificar as imagens de contêiner no Registro de Contêiner do Azure em busca de vulnerabilidades.

A verificação de imagem funciona analisando o arquivo de imagem de contêiner e, em seguida, verificando se há alguma vulnerabilidade conhecida (da plataforma Qualys).

A varredura em si é disparada automaticamente ao enviar por push novas imagens de contêiner para o Registro de Contêiner do Azure. As vulnerabilidades encontradas surgirão como recomendações da Central de Segurança e serão incluídas na classificação de segurança, com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.

Padrões adicionais de conformidade regulatória (versão preliminar)

O painel de Conformidade Regulatória mostra informações sobre sua postura de conformidade com base nas avaliações da Central de Segurança. O painel mostra como o seu ambiente está em conformidade com os controles e requisitos designados por padrões regulatórios específicos e benchmarks do setor e fornece recomendações prescritivas sobre como lidar com esses requisitos.

O painel de conformidade regulatória oferece, até o momento, suporte a quatro padrões integrados: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Agora estamos anunciando a versão preliminar de padrões adicionais compatíveis: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official com UK NHS. Também estamos lançando uma versão atualizada do Azure CIS 1.1.0, abrangendo mais controles do padrão e aprimorando a extensibilidade.

Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Proteção contra ameaças para o Serviço de Kubernetes do Azure (versão preliminar)

O Kubernetes está se tornando rapidamente o novo padrão para implantar e gerenciar software na nuvem. Poucas pessoas têm ampla experiência com Kubernetes e muitos se concentram apenas em engenharia e administração geral e ignoram o aspecto de segurança. O ambiente Kubernetes precisa ser configurado com cuidado para ser seguro, garantindo que nenhuma das portas da superfície de ataque focadas no contêiner seja deixada aberta é exposta para invasores. A Central de Segurança está expandindo seu suporte no espaço do contêiner para um dos serviços de crescimento mais rápido no Azure: AKS (Serviço de Kubernetes do Azure).

Os novos recursos dessa versão preliminar pública incluem:

  • Descoberta e visibilidade - descoberta contínua de instâncias do AKS gerenciadas nas assinaturas registradas da Central de Segurança.
  • Recomendações de pontuação segura - itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como o “controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço Kubernetes”.
  • Detecção de ameaças - análise baseada em cluster e host, como "um contêiner privilegiado detectado".

Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)

Os aplicativos instalados em máquinas virtuais geralmente podem ter vulnerabilidades que poderiam levar a uma violação da máquina virtual. Estamos anunciando que a camada Standard da Central de Segurança inclui a avaliação integrada de vulnerabilidades para máquinas virtuais sem nenhuma taxa adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na versão preliminar pública, permitirá que você examine continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresente as descobertas na experiência do portal da Central de Segurança. A Central de Segurança cuida de todas as operações de implantação para que não seja necessário nenhum trabalho extra do usuário. No futuro, estamos planejando fornecer opções de avaliação de vulnerabilidade para dar suporte às necessidades de negócios únicas de nossos clientes.

Saiba mais sobre avaliações de vulnerabilidades para suas máquinas virtuais do Azure.

Segurança de Dados Avançada para o SQL Server em Máquinas Virtuais do Microsoft Azure (versão preliminar)

O suporte da Central de Segurança do Azure para proteção contra ameaças e a avaliação de vulnerabilidade para bancos de dados SQL em execução em VMs de IaaS agora está em versão preliminar.

A Avaliação de vulnerabilidade é um serviço fácil de ser configurado que pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. Ela fornece visibilidade de sua postura de segurança como parte da classificação de segurança e inclui as etapas para resolver problemas de segurança e aprimorar as fortificações de seu banco de dados.

A Proteção Avançada contra Ameaças detecta atividades anômalas, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seu SQL Server. Monitora continuamente seu banco de dados em busca de atividades suspeitas e fornece alertas de segurança orientados a ações em padrões anormais de acesso de banco de dados. Esses alertas mostram os detalhes da atividade suspeita e as ações recomendadas para investigar e atenuar a ameaça.

Compatibilidade com políticas personalizadas (versão preliminar)

A Central de Segurança do Azure agora permite políticas personalizadas (em versão preliminar).

Nossos clientes querem estender sua cobertura atual de avaliações de segurança na Central de Segurança com suas próprias avaliações, com base nas políticas que elas criam no Azure Policy. Com o suporte a políticas personalizadas, isso agora é possível.

As políticas personalizadas agora serão parte da experiência de recomendações da Central de Segurança, da Classificação de Segurança e do painel de padrões de conformidade regulatória. Com o suporte a políticas personalizadas, agora você pode criar uma iniciativa personalizada no Azure Policy e, em seguida, adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.

Estender a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros

Use a Central de Segurança para receber recomendações não apenas da Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muito mais integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você exiba suas recomendações de postura de segurança em um único lugar, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações integradas e de parceiros. Você também pode exportar recomendações da Central de Segurança para produtos de parceiros.

Saiba mais sobre a associação de segurança inteligente da Microsoft.

Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)

Para habilitar cenários de nível empresarial na Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto o portal do Azure ou a API. Eles podem ser exportados diretamente para um hub de eventos e para workspaces do Log Analytics. Aqui estão alguns fluxos de trabalho que você pode criar com base nesses novos recursos:

  • Com a exportação para workspaces do Log Analytics, você pode criar painéis personalizados com o Power BI.
  • Com a exportação para o Hub de Eventos, você pode exportar alertas e recomendações da Central de Segurança para seus SIEMs terceirizados, para uma solução terceirizada ou para o Azure Data Explorer.

Integrar servidores locais à Central de Segurança do Centro de Administração do Windows (versão preliminar)

O Centro de Administração do Windows é um portal de gerenciamento para servidores Windows que não estão implantados no Azure, oferecendo vários recursos de gerenciamento do Azure, como atualizações de sistema e backup. Recentemente, adicionamos um recurso para carregar esses servidores não Azure para serem protegidos pelo Certificado do Serviço de Aplicativo diretamente do Centro de Administração do Windows.

Os usuários agora podem integrar um servidor WAC à Central de Segurança do Azure e habilitar a exibição de seus alertas e recomendações de segurança diretamente na experiência do Windows Admin Center.

Setembro de 2019

As atualizações de setembro incluem:

Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis

A experiência de gerenciar regras para máquinas virtuais usando controles de aplicativos adaptáveis foi aprimorada. Os controles de aplicativo adaptáveis da Central de Segurança do Azure ajudam a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Além de uma melhoria geral no gerenciamento de regras, um novo benefício permite que você controle quais tipos de arquivo serão protegidos quando você adicionar uma nova regra.

Saiba mais sobre controles de aplicativo adaptáveis.

Controlar a recomendação de segurança do contêiner usando Azure Policy

A recomendação da Central de Segurança do Azure para corrigir vulnerabilidades em segurança de contêiner agora pode ser habilitada ou desabilitada pelo Azure Policy.

Para exibir as políticas de segurança habilitadas, na Central de Segurança, abra a página Política de Segurança.

Agosto de 2019

As atualizações de agosto incluem:

Acesso à VM just-in-time (JIT) para o Firewall do Azure

O acesso à VM just-in-time (JIT) para o Firewall do Azure já está disponível para o público geral. Use-o para proteger seus ambientes protegidos pelo Firewall do Azure, além de seus ambientes protegidos por grupo de segurança de rede.

O acesso à VM JIT reduz a exposição a ataques volumétricos de rede, fornecendo acesso controlado às VMs somente quando necessário, usando suas regras de grupo de segurança de rede e Firewall do Azure.

Quando você habilita o JIT para suas VMs, cria uma política que determina as portas a serem protegidas, por quanto tempo as portas devem permanecer abertas e os endereços IP aprovados de onde essas portas podem ser acessadas. Essa política ajuda você a manter o controle do que os usuários podem fazer quando solicitam acesso.

As solicitações são registradas no log de atividades do Azure, para que você possa monitorar e auditar facilmente o acesso. A página just-in-time também ajuda a identificar rapidamente as VMs existentes que têm o JIT habilitado e as VMs em que o JIT é recomendado.

Saiba mais sobre o Firewall do Azure.

Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)

A pontuação segura é uma ferramenta que ajuda a avaliar sua postura de segurança de carga de trabalho. Ela analisa suas recomendações de segurança e as prioriza para você, para que você saiba quais recomendações devem ser executadas primeiro. Isso ajuda a encontrar as vulnerabilidades de segurança mais sérias para que você possa priorizar a investigação.

Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua classificação de segurança, adicionamos um novo recurso que permite que você corrija uma recomendação em uma grande quantidade de recursos com um único clique.

Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.

Gerenciamento entre locatários

A Central de Segurança agora dá suporte a cenários de gerenciamento entre locatários como parte do Azure Lighthouse. Isso permite que você tenha visibilidade e gerencie a postura de segurança de vários locatários na Central de Segurança.

Saiba mais sobre as experiências de gerenciamento entre locatários.

Julho de 2019

Atualizações das recomendações de rede

A Central de Segurança do Azure (ASC) lançou novas recomendações de rede e melhorou algumas delas. Agora, o uso da Central de Segurança garante uma proteção de rede ainda maior para seus recursos.

Junho de 2019

Proteção de rede adaptável: em disponibilidade geral

Uma das maiores superfícies de ataque para cargas de trabalho executadas na nuvem pública são as conexões de e para a Internet pública. Nossos clientes acham difícil saber quais regras do Grupo de Segurança de Rede (NSG) devem estar em vigor para garantir que as cargas de trabalho do Azure estejam disponíveis apenas para os intervalos de origem necessários. Com esse recurso, a Central de Segurança aprende o tráfego de rede e os padrões de conectividade das cargas de trabalho do Azure e mostra as recomendações de regras do grupo de segurança de rede para máquinas virtuais voltadas para a Internet. Isso ajuda nossos clientes a configurar melhor suas políticas de acesso à rede e limitar sua exposição a ataques.