Partilhar via


Classificações predefinidas

Gestão da exposição de segurança fornece um catálogo inicial de classificações de recursos críticos predefinidas para recursos que incluem dispositivos, identidades e recursos na cloud.

Pode rever e classificar recursos críticos, ativando-os e desativando-os conforme necessário.

Para sugerir novas classificações de recursos críticos, utilize o botão Feedback .

Os tipos de recursos atuais são:

Nota

Também utilizamos o contexto de criticidade obtido a partir de conectores de dados externos. Este contexto será apresentado como classificações na biblioteca de classificação de gestão de recursos crítica predefinida.

Dispositivo
Classificação Tipo de recurso Nível de criticidade predefinido Descrição
Microsoft Entra ID Connect Dispositivo High O servidor do Microsoft Entra ID Connect (anteriormente conhecido como AAD Connect) é responsável pela sincronização de dados e palavras-passe de diretório no local com o inquilino Microsoft Entra ID.
ADCS Dispositivo High O servidor ADCS permite que os administradores implementem totalmente uma infraestrutura de chaves públicas (PKI) e emitam certificados digitais que podem ser utilizados para proteger múltiplos recursos numa rede. Além disso, o ADCS pode ser utilizado para várias soluções de segurança, como encriptação SSL, autenticação de utilizador e e-mail seguro.
ADFS Dispositivo High O servidor ADFS fornece aos utilizadores acesso de início de sessão único a sistemas e aplicações localizados em limites organizacionais. Utiliza um modelo de autorização de controlo de acesso baseado em afirmações para manter a segurança da aplicação e implementar a identidade federada.
Cópia de segurança Dispositivo Média O servidor de cópia de segurança é responsável por salvaguardar os dados através de cópias de segurança regulares, garantindo a proteção de dados e a preparação para a recuperação após desastre.
Dispositivo Administração de Domínio Dispositivo High Os dispositivos de administrador de domínio são dispositivos nos quais um ou mais dos administradores de domínio têm sessão iniciada frequentemente. É provável que estes dispositivos armazenem ficheiros, documentos e credenciais relacionados utilizados pelos administradores de domínio. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas.
Controlador de Domínio Dispositivo Muito Alto O servidor de controlador de domínio é responsável pela autenticação, autorização e gestão centralizada de recursos de rede num domínio do Active Directory.
DNS Dispositivo Baixo O servidor DNS é essencial para resolver nomes de domínio para endereços IP, permitindo a comunicação de rede e o acesso aos recursos tanto interna como externamente.
Exchange Dispositivo Média O exchange server é responsável por todo o tráfego de correio dentro da organização. Dependendo da configuração e arquitetura, cada servidor pode conter várias bases de dados de correio que armazenam informações organizacionais altamente confidenciais.
Dispositivo Administração de TI Dispositivo Média Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos dentro da organização são vitais para a administração de TI e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas.
Dispositivo de Administração de Rede Dispositivo Média Os dispositivos críticos utilizados para configurar, gerir e monitorizar os recursos de rede na organização são vitais para a administração da rede e estão em risco elevado de ameaças cibernéticas. Precisam de segurança de nível superior para impedir o acesso não autorizado. Nota: aplicamos uma lógica para identificar dispositivos pertencentes a um administrador com base em vários fatores, incluindo a utilização frequente de ferramentas administrativas.
VMware ESXi Dispositivo High O hipervisor VMware ESXi é essencial para executar e gerir máquinas virtuais na sua infraestrutura. Como hipervisor bare-metal, fornece a base para criar e gerir recursos virtuais.
VMware vCenter Dispositivo High O VMware vCenter Server é crucial para a gestão de ambientes virtuais. Fornece gestão centralizada de máquinas virtuais e anfitriões ESXi. Se falhar, poderá interromper a administração e o controlo da infraestrutura virtual, incluindo o aprovisionamento, a migração, o balanceamento de carga das máquinas virtuais e a automatização do datacenter. No entanto, como muitas vezes existem servidores vCenter redundantes e configurações de Elevada Disponibilidade, a paragem imediata de todas as operações pode não ocorrer. A falha pode ainda causar inconvenientes significativos e potenciais problemas de desempenho
Servidor Hyper-V Dispositivo High O hipervisor Hyper-V é essencial para executar e gerir máquinas virtuais na sua infraestrutura, que servem de plataforma principal para a sua criação e gestão. Se o anfitrião Hyper-V falhar, pode levar à indisponibilidade das máquinas virtuais alojadas, causando potencialmente tempo de inatividade e perturbando as operações empresariais. Além disso, pode resultar numa degradação significativa do desempenho e desafios operacionais. Assim, garantir a fiabilidade e a estabilidade dos anfitriões Hyper-V é fundamental para manter operações totalmente integradas num ambiente virtual.
Identidade
Classificação Tipo de recurso Nível de criticidade predefinido Descrição
Identidade com Função Privilegiada Identidade High As seguintes identidades (Utilizador, Grupo, Principal de Serviço ou Identidade Gerida) têm uma função RBAC do Azure privilegiada ou incorporada atribuída, no âmbito da subscrição, que contém um recurso crítico. A função pode incluir permissões para atribuições de funções do Azure, modificar políticas do Azure, executar scripts numa VM com o comando Executar, acesso de leitura a contas de armazenamento e keyvaults, etc.
Administrador de Aplicações Identidade Muito Alto As identidades nesta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e definições de proxy de aplicações.
Programador de Aplicações Identidade High As identidades nesta função podem criar registos de aplicações independentemente da definição "Os utilizadores podem registar aplicações".
Administrador de Autenticação Identidade Muito Alto As identidades nesta função podem definir e repor o método de autenticação (incluindo palavras-passe) para utilizadores não administradores.
Operadores de Cópia de Segurança Identidade Muito Alto As identidades nesta função podem criar cópias de segurança e restaurar todos os ficheiros num computador, independentemente das permissões que protegem esses ficheiros. Os operadores de cópia de segurança também podem iniciar sessão e encerrar o computador e podem realizar operações de cópia de segurança e restauro em controladores de domínio.
Operadores de Servidor Identidade Muito Alto As identidades nesta função podem administrar controladores de domínio. Os membros do grupo Operadores de servidor podem efetuar as seguintes ações: iniciar sessão num servidor interativamente, criar e eliminar recursos partilhados de rede, iniciar e parar serviços, fazer cópias de segurança e restaurar ficheiros, formatar a unidade de disco rígido do computador e encerrar o computador.
Administrador do Conjunto de Chaves IEF B2C Identidade High As identidades nesta função podem gerir segredos para federação e encriptação no Identity Experience Framework (IEF).
Administrador de Aplicações na Cloud Identidade Muito Alto As identidades nesta função podem criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações.
Administrador de Dispositivos na Cloud Identidade High As identidades nesta função têm acesso limitado para gerir dispositivos no Microsoft Entra ID. Podem ativar, desativar e eliminar dispositivos no Microsoft Entra ID e ler Windows 10 chaves BitLocker (se estiverem presentes) no portal do Azure.
Administrador de Acesso Condicional Identidade High As identidades nesta função têm a capacidade de gerir Microsoft Entra definições de Acesso Condicional.
Contas de Sincronização de Diretórios Identidade Muito Alto As identidades nesta função têm a capacidade de gerir todas as definições de sincronização de diretórios. Só deve ser utilizado pelo serviço Microsoft Entra Connect.
Escritores de Diretório Identidade High As identidades nesta função podem ler e escrever informações básicas do diretório. Para conceder acesso a aplicações, não se destina a utilizadores.
Administrador de Domínio Identidade Muito Alto As identidades nesta função estão autorizadas a administrar o domínio. Por predefinição, o grupo Admins do Domínio é membro do grupo Administradores em todos os computadores que tenham aderido a um domínio, incluindo os controladores de domínio.
Administrador do Enterprise Identidade Muito Alto As identidades nesta função têm acesso total à configuração de todos os controladores de domínio. Os membros deste grupo podem modificar a associação de todos os grupos administrativos.
Administrador Global Identidade Muito Alto As identidades nesta função podem gerir todos os aspetos de Microsoft Entra ID e serviços Microsoft que utilizam identidades Microsoft Entra.
Leitor Global Identidade High As identidades nesta função podem ler tudo o que um Administrador Global pode, mas não atualizar nada.
Administrador de Suporte Técnico Identidade Muito Alto As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Suporte Técnico.
Administrador de Identidade Híbrida Identidade Muito Alto As identidades nesta função podem gerir o Active Directory para Microsoft Entra aprovisionamento na cloud, Microsoft Entra Connect, Autenticação Pass-through (PTA), Sincronização do hash de palavras-passe (PHS), início de sessão único totalmente integrado (SSO Totalmente Integrado) e definições de federação.
Administrador do Intune Identidade Muito Alto As identidades nesta função podem gerir todos os aspetos do produto Intune.
Suporte para Parceiros do Escalão 1 Identidade Muito Alto As identidades nesta função podem repor palavras-passe para utilizadores não administradores, atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral.
Suporte para Parceiros do Escalão 2 Identidade Muito Alto As identidades nesta função podem repor palavras-passe para todos os utilizadores (incluindo Administradores Globais), atualizar credenciais para aplicações, criar e eliminar utilizadores e criar concessões de permissão OAuth2. Esta função foi preterida e será removida de Microsoft Entra ID no futuro. Não utilize - não se destina a utilização geral.
Administrador de Palavras-passe Identidade Muito Alto As identidades nesta função podem repor palavras-passe para administradores não administrativos e Administradores de Palavra-passe.
Administrador de Autenticação Privilegiada Identidade Muito Alto As identidades nesta função podem ver, definir e repor informações do método de autenticação para qualquer utilizador (administrador ou não administrador).
Administrador de Funções Com Privilégios Identidade Muito Alto As identidades nesta função podem gerir atribuições de funções no Microsoft Entra ID e todos os aspetos da Privileged Identity Management.
Administrador de Segurança Identidade High As identidades nesta função podem ler informações e relatórios de segurança e gerir a configuração em Microsoft Entra ID e Office 365.
Operador de Segurança Identidade High As identidades nesta função podem criar e gerir eventos de segurança.
Leitor de Segurança Identidade High As identidades nesta função podem ler informações e relatórios de segurança em Microsoft Entra ID e Office 365.
Administrador de Utilizadores Identidade Muito Alto As identidades nesta função podem gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados.
Administrador do Exchange Identidade High As identidades nesta função podem gerir todos os aspetos do produto Exchange.
Administrador do SharePoint Identidade High As identidades nesta função podem gerir todos os aspetos do serviço SharePoint.
Administrador de Conformidade Identidade High As identidades nesta função podem ler e gerir configurações e relatórios de conformidade no Microsoft Entra ID e no Microsoft 365.
Administrador do Grupos Identidade High As identidades nesta função podem criar/gerir grupos e definições de grupo, como políticas de nomenclatura e expiração, e ver relatórios de auditoria e atividade de grupo.
Administrador do Fornecedor de Identidade Externo Identidade Muito Alto As identidades nesta função podem configurar fornecedores de identidade para utilização na federação direta.
Administrador de Nomes de Domínio Identidade Muito Alto As identidades nesta função podem gerir nomes de domínio na cloud e no local.
Administrador do Gestão de Permissões Identidade Muito Alto As identidades nesta função podem gerir todos os aspetos do Gestão de Permissões do Microsoft Entra (EPM).
Administrador de Faturação Identidade High As identidades nesta função podem realizar tarefas comuns relacionadas com a faturação, como atualizar informações de pagamento.
Administrador de Licenças Identidade High As identidades nesta função podem gerir licenças de produtos em utilizadores e grupos.
Administrador do Teams Identidade High As identidades nesta função podem gerir o serviço Microsoft Teams.
Administrador do Fluxo de Utilizador ID externo Identidade High As identidades nesta função podem criar e gerir todos os aspetos dos fluxos de utilizador.
ID externo Administrador de Atributos do Fluxo de Utilizador Identidade High As identidades nesta função podem criar e gerir o esquema de atributos disponível para todos os fluxos de utilizador.
Administrador de Políticas do IEF B2C Identidade High As identidades nesta função podem criar e gerir políticas de arquitetura de confiança no Identity Experience Framework (IEF).
Administrador de Dados de Conformidade Identidade High As identidades nesta função podem criar e gerir conteúdos de conformidade.
Administrador de Políticas de Autenticação Identidade High As identidades nesta função podem criar e gerir a política de métodos de autenticação, as definições de MFA ao nível do inquilino, a política de proteção de palavras-passe e as credenciais verificáveis.
Administrador de Conhecimento Identidade High As identidades nesta função podem configurar conhecimentos, aprendizagem e outras funcionalidades inteligentes.
Gestor de Conhecimento Identidade High As identidades nesta função podem organizar, criar, gerir e promover tópicos e conhecimentos.
Administrador de Definição de Atributos Identidade High As identidades nesta função podem definir e gerir a definição de atributos de segurança personalizados.
Administrador de Atribuição de Atributos Identidade High As identidades nesta função podem atribuir chaves e valores de atributos de segurança personalizados a objetos de Microsoft Entra suportados.
Administrador de Governação de Identidades Identidade High As identidades nesta função podem gerir o acesso com Microsoft Entra ID para cenários de governação de identidades.
Administrador Cloud App Security Identidade High As identidades nesta função podem gerir todos os aspetos do produto Defender for Cloud Apps.
Administrador do Windows 365 Identidade High As identidades nesta função podem aprovisionar e gerir todos os aspetos dos PCs na Cloud.
Administrador do Yammer Identidade High As identidades nesta função podem gerir todos os aspetos do serviço Yammer.
Administrador de Extensibilidade de Autenticação Identidade High As identidades nesta função podem personalizar as experiências de início de sessão e inscrição para os utilizadores ao criar e gerir extensões de autenticação personalizadas.
Administrador de Fluxos de Trabalho do Ciclo de Vida Identidade High As identidades nesta função criam e gerem todos os aspetos dos fluxos de trabalho e tarefas associados aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID.
Recurso da cloud
Classificação Tipo de recurso Nível de criticidade predefinido Descrição
Bases de dados com Dados Confidenciais Recurso da cloud High Este é um arquivo de dados que contém dados confidenciais. A confidencialidade dos dados pode ir desde segredos, documentos confidenciais, informações pessoais identificáveis e muito mais.
Máquina Virtual confidencial do Azure Recurso da cloud High Esta regra aplica-se a máquinas virtuais confidenciais do Azure. As VMs confidenciais proporcionam um maior isolamento, privacidade e encriptação e são utilizadas para dados e cargas de trabalho críticos ou altamente confidenciais.
Máquina Virtual do Azure Bloqueada Recurso da cloud Média Esta é uma máquina virtual que é salvaguardada por um bloqueio. Os bloqueios são utilizados para proteger os recursos contra eliminações e modificações. Normalmente, os administradores utilizam bloqueios para salvaguardar recursos críticos da cloud no respetivo ambiente e protegê-los contra eliminações acidentais e modificações não autorizadas.
Máquina Virtual do Azure com Elevada Disponibilidade e Desempenho Recurso da cloud Baixo Esta regra aplica-se a máquinas virtuais do Azure que utilizam o armazenamento premium do Azure e estão configuradas com um conjunto de disponibilidade. O armazenamento Premium é utilizado para máquinas com requisitos de elevado desempenho, como cargas de trabalho de produção. Os conjuntos de disponibilidade melhoram a resiliência e são frequentemente indicados para VMs críticas para a empresa que precisam de elevada disponibilidade.
Armazenamento Imutável do Azure Recurso da cloud Média Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado. A imutabilidade armazena dados de negócio numa escrita após ler o estado de muitos (WORM) e, normalmente, indica que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações.
Armazenamento Imutável e Bloqueado do Azure Recurso da cloud High Esta regra aplica-se a contas de armazenamento do Azure com suporte de imutabilidade ativado com uma política bloqueada. A imutabilidade armazena dados de negócio numa escrita depois de ler muitos (WORM). A proteção de dados é aumentada com uma política bloqueada para garantir que os dados não podem ser eliminados ou que o respetivo tempo de retenção foi reduzido. Normalmente, estas definições indicam que a conta de armazenamento contém dados críticos ou confidenciais que têm de ser protegidos contra modificações ou eliminações. Os dados também podem ter de estar alinhados com as políticas de conformidade para a proteção de dados.
Máquina Virtual do Azure com sessão iniciada por um utilizador crítico Recurso da cloud High Esta regra aplica-se a máquinas virtuais protegidas pelo Defender para Endpoint, em que um utilizador com um nível de criticidade elevado ou muito elevado tem sessão iniciada. O utilizador com sessão iniciada pode ser feito através de um dispositivo associado ou registado, de uma sessão ativa do browser ou de outros meios.
Azure Key Vaults com Muitas Identidades Ligadas Recurso da cloud High Esta regra identifica os Key Vaults que podem ser acedidos por um grande número de identidades, em comparação com outros Key Vaults. Isto indica frequentemente que o Key Vault é utilizado por cargas de trabalho críticas, como serviços de produção.
Cluster de Azure Kubernetes Service bloqueado Recurso da cloud Baixo Este é um cluster Azure Kubernetes Service que é salvaguardado por um bloqueio. Os bloqueios são utilizados para proteger os recursos contra eliminações e modificações. Normalmente, os administradores utilizam bloqueios para salvaguardar recursos críticos da cloud no respetivo ambiente e protegê-los contra eliminações acidentais e modificações não autorizadas.
Escalão Premium Azure Kubernetes Service cluster Recurso da cloud High Esta regra aplica-se a clusters Azure Kubernetes Service com gestão de clusters de escalão premium. Os escalões Premium são recomendados para executar cargas de trabalho de produção ou fundamentais para a atividade que necessitem de elevada disponibilidade e fiabilidade.
Azure Kubernetes Service cluster com vários nós Recurso da cloud High Esta regra aplica-se a clusters Azure Kubernetes Service com um grande número de nós. Isto indica frequentemente que o cluster é utilizado para cargas de trabalho críticas, como cargas de trabalho de produção.
Cluster do Kubernetes do Azure Arc com vários nós Recurso da Cloud High Esta regra aplica-se a clusters do Kubernetes do Azure Arc com um grande número de nós. Isto indica frequentemente que o cluster é utilizado para cargas de trabalho críticas, como cargas de trabalho de produção.