Share via

Gerenciamento de postura de segurança na nuvem (CSPM)

  • Artigo

Um dos principais pilares do Microsoft Defender for Cloud é o gerenciamento de postura de segurança na nuvem (CSPM). O CSPM fornece visibilidade detalhada sobre o estado de segurança de seus ativos e cargas de trabalho e fornece orientação de proteção para ajudá-lo a melhorar sua postura de segurança de forma eficiente e eficaz.

O Defender for Cloud avalia continuamente seus recursos em relação aos padrões de segurança definidos para suas assinaturas do Azure, contas da AWS e projetos GCP. O Defender for Cloud emite recomendações de segurança com base nessas avaliações.

Por padrão, quando você habilita o Defender for Cloud em uma assinatura do Azure, o padrão de conformidade do Microsoft Cloud Security Benchmark (MCSB) é ativado. Apresenta recomendações. O Defender for Cloud fornece uma pontuação segura agregada com base em algumas das recomendações do MCSB. Quanto maior a pontuação, menor o nível de risco identificado.

Recursos do CSPM

O Defender for Cloud oferece as seguintes ofertas de CSPM:

  • CSPM Foundational - O Defender for Cloud oferece recursos básicos de CSPM multicloud gratuitamente. Esses recursos são ativados automaticamente por padrão para assinaturas e contas integradas ao Defender for Cloud.

  • Plano Defender Cloud Security Posture Management (CSPM) - O plano opcional e pago Defender for Cloud Secure Posture Management oferece mais recursos avançados de postura de segurança.

Disponibilidade do plano

Saiba mais sobre os preços do Defender CSPM.

A tabela a seguir resume cada plano e sua disponibilidade na nuvem.

Caraterística CSPM fundacional GPSC do Defender Disponibilidade na nuvem
Recomendações de segurança Azure, AWS, GCP, local
Inventário de ativos Azure, AWS, GCP, local
Classificação de segurança Azure, AWS, GCP, local
Visualização de dados e relatórios com Pastas de Trabalho do Azure Azure, AWS, GCP, local
Exportação de dados Azure, AWS, GCP, local
Automatização de fluxos de trabalho Azure, AWS, GCP, local
Ferramentas para remediação Azure, AWS, GCP, local
Benchmark de segurança na nuvem da Microsoft Azure, AWS, GCP
Gestão da postura de segurança da IA - Azure, AWS
Análise de vulnerabilidades de VM sem agente - Azure, AWS, GCP
Verificação de segredos de VM sem agente - Azure, AWS, GCP
Análise de trajetória de ataque - Azure, AWS, GCP
Priorização de riscos - Azure, AWS, GCP
Caça ao risco com o explorador de segurança - Azure, AWS, GCP
Mapeamento de código para nuvem para contêineres - GitHub, Azure DevOps
Mapeamento de código para nuvem para IaC - Azure DevOps
Anotações PR - GitHub, Azure DevOps
Análise da exposição na Internet - Azure, AWS, GCP
Gerenciamento de superfície de ataque externo (EASM) - Azure, AWS, GCP
Gerenciamento de permissões (CIEM) - Azure, AWS, GCP
Avaliações de conformidade regulatória - Azure, AWS, GCP
Integração ServiceNow - Azure, AWS, GCP
Proteção de ativos críticos - Azure, AWS, GCP
Governança para impulsionar a remediação em escala - Azure, AWS, GCP
Postura de segurança com reconhecimento de dados, varredura de dados confidenciais - Azure, AWS, GCP
Descoberta sem agente para Kubernetes - Azure, AWS, GCP
Avaliação de vulnerabilidade de contêineres de código para nuvem sem agente - Azure, AWS, GCP

Nota

A partir de 7 de março de 2024, o Defender CSPM deve ser habilitado para ter recursos de segurança premium de DevOps que incluam contextualização de código para nuvem alimentando o explorador de segurança e caminhos de ataque e anotações de solicitação pull para descobertas de segurança de infraestrutura como código. Consulte Suporte de segurança e pré-requisitos de DevOps para saber mais.

Integrações (pré-visualização)

O Microsoft Defender for Cloud agora tem integrações integradas para ajudá-lo a usar sistemas de terceiros para gerenciar e rastrear perfeitamente tíquetes, eventos e interações com clientes. Você pode enviar recomendações para uma ferramenta de tíquete de terceiros e atribuir a responsabilidade a uma equipe pela remediação.

A integração simplifica seu processo de resposta a incidentes e melhora sua capacidade de gerenciar incidentes de segurança. Você pode rastrear, priorizar e resolver incidentes de segurança de forma mais eficaz.

Pode escolher qual o sistema de bilhética a integrar. Para visualização, apenas a integração ServiceNow é suportada. Para obter mais informações sobre como configurar a integração do ServiceNow, consulte Integrar o ServiceNow com o Microsoft Defender for Cloud (visualização).

Planejar preços

  • Consulte a página de preços do Defender for Cloud para saber mais sobre os preços do Defender CSPM.

  • A partir de 7 de março de 2024, os recursos avançados de postura de segurança do DevOps só estarão disponíveis por meio do plano pago Defender CSPM. O gerenciamento gratuito de postura de segurança fundamental no Defender for Cloud continuará fornecendo várias recomendações de DevOps do Azure. Saiba mais sobre os recursos de segurança do DevOps.

  • Para assinaturas que usam os planos Defender CSPM e Defender for Containers, a avaliação gratuita de vulnerabilidades é calculada com base em verificações de imagem gratuitas fornecidas por meio do plano Defender for Containers, conforme resumido na página de preços do Microsoft Defender for Cloud.

  • O Defender CSPM protege todas as cargas de trabalho multicloud, mas a cobrança é aplicada apenas em recursos específicos. As tabelas a seguir listam os recursos faturáveis quando o Defender CSPM está habilitado em assinaturas do Azure, contas da AWS ou projetos GCP.

    Serviço do Azure Tipos de recursos Exclusões
    Computação Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - VMs desalocados
    - VMs Databricks
    Armazenamento Microsoft.Storage/storageAccounts Contas de armazenamento sem contêineres de blob ou compartilhamentos de arquivos
    DB Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servidores
    Microsoft.DBforMySQL/servidores
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servidores
    Microsoft.Synapse/workspaces    		 ---
    Serviço da AWS Tipos de recursos Exclusões
    Computação Instâncias do EC2 VMs desalocadas
    Armazenamento Baldes S3 ---
    DB Instâncias RDS ---
    Serviço GCP Tipos de recursos Exclusões
    Computação 1. Instâncias do Google Compute
    2. Grupo de instâncias do Google    		 Instâncias com estados não em execução
    Armazenamento Baldes de armazenamento - Baldes das aulas: 'nearline', 'coldline', 'archive'
    - Baldes de outras regiões que: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    DB Instâncias SQL na nuvem ---

Suporte de nuvem do Azure

Para obter cobertura de nuvem comercial e nacional, analise os recursos suportados em ambientes de nuvem do Azure.

Suporte para tipo de recurso na AWS e GCP

Para obter suporte multicloud de tipos de recursos (ou serviços) em nossa camada CSPM multicloud fundamental, consulte a tabela de recursos e tipos de serviço multicloud para AWS e GCP.

Próximos passos