Suporte e pré-requisitos para a gestão da postura de segurança de dados
Analise os requisitos nesta página antes de configurar o gerenciamento de postura de segurança de dados no Microsoft Defender for Cloud.
Habilitando a descoberta de dados confidenciais
A descoberta de dados confidenciais está disponível nos planos Defender CSPM, Defender for Storage e Defender for Databases.
- Quando você habilita um dos planos, a extensão de descoberta de dados confidenciais é ativada como parte do plano.
- Se você tiver planos existentes em execução, a extensão estará disponível, mas desativada por padrão.
- O status do plano existente será exibido como "Parcial" em vez de "Completo" se uma ou mais extensões não estiverem ativadas.
- O recurso é ativado no nível da assinatura.
- Se a descoberta de dados confidenciais estiver ativada, mas o Defender CSPM não estiver habilitado, apenas os recursos de armazenamento serão verificados.
- Se uma assinatura estiver habilitada com o Defender CSPM e, em paralelo, você digitalizou os mesmos recursos com o Purview, o resultado da verificação do Purview será ignorado e o padrão será exibido como padrão os resultados da verificação do Microsoft Defender for Cloud para o tipo de recurso suportado.
O que é suportado
A tabela resume a disponibilidade e os cenários suportados para a descoberta de dados confidenciais.
| Suporte | Detalhes |
|---|---|
| Que recursos de dados do Azure posso descobrir? | Armazenamento de objetos: Bloquear contas de armazenamento de blob no Armazenamento do Azure v1/v2 Azure Data Lake Storage Gen2 Há suporte para contas de armazenamento por trás de redes privadas. Há suporte para contas de armazenamento criptografadas com uma chave do lado do servidor gerenciada pelo cliente. As contas não são suportadas se qualquer uma destas definições estiver ativada: Conta de armazenamento é definida como Zona DNS do Azure; O ponto de extremidade da conta de armazenamento tem um domínio personalizado mapeado para ele. Bases de dados Bases de Dados SQL do Azure |
| Quais recursos de dados da AWS posso descobrir? | Armazenamento de objetos: Buckets do AWS S3 O Defender for Cloud pode descobrir dados criptografados por KMS, mas não dados criptografados com uma chave gerenciada pelo cliente. Bases de dados - Amazônia Aurora - Amazon RDS para PostgreSQL - Amazon RDS para MySQL - Amazon RDS para MariaDB - Amazon RDS para SQL Server (não personalizado) - Amazon RDS for Oracle Database (não personalizado, apenas SE2 Edition) Pré-requisitos e limitações: - Os backups automatizados precisam ser ativados. - A função do IAM criada para fins de verificação (DefenderForCloud-DataSecurityPostureDB por padrão) precisa ter permissões para a chave KMS usada para a criptografia da instância RDS. - Não é possível compartilhar um DB snapshot que usa um grupo de opções com opções permanentes ou persistentes, exceto para instâncias de banco de dados Oracle que têm a opção Timezone ou OLS (ou ambas). Mais informações |
| Que recursos de dados do GCP posso descobrir? | Buckets de armazenamento GCP Classe Standard Geo: região, região dupla, multi-região |
| De que permissões necessito para a descoberta? | Conta de armazenamento: Proprietário da subscrição or Microsoft.Authorization/roleAssignments/* (ler, escrever, apagar) eMicrosoft.Security/pricings/* (ler, escrever, eliminar) eMicrosoft.Security/pricings/SecurityOperators (ler, escrever)Buckets do Amazon S3 e instâncias do RDS: permissão da conta da AWS para executar o Cloud Formation (para criar uma função). Buckets de armazenamento GCP: permissão da Conta do Google para executar scripts (para criar uma função). |
| Quais tipos de arquivo são suportados para a descoberta de dados confidenciais? | Tipos de ficheiro suportados (não é possível selecionar um subconjunto) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Quais regiões do Azure são suportadas? | Você pode descobrir contas de armazenamento do Azure em: Ásia Oriental; Ásia Sudeste; Austrália Central; Austrália Central 2; Austrália Leste; Austrália Sudeste; Sul do Brasil; Brasil Sudeste; Canadá Central; Canadá Leste; Europa do Norte; Europa Ocidental; França Central; França Sul; Alemanha Norte; Alemanha Centro-Oeste; Índia Central; Índia Sul; Leste do Japão; Japão Ocidental; Jio Índia Oeste; Coreia Central; Coreia do Sul; Leste da Noruega; Noruega Oeste; África do Sul Norte; África do Sul Ocidental; Suécia Central; Suíça Norte; Suíça Oeste; Emirados Árabes Unidos Norte; Sul do Reino Unido; Oeste do Reino Unido; US Central; Leste dos EUA; Leste dos EUA 2; Centro-Norte dos EUA; Centro-Sul dos EUA; Oeste dos EUA; Oeste dos EUA 2; Oeste dos EUA 3; Centro-Oeste dos EUA; Você pode descobrir os Bancos de Dados SQL do Azure em qualquer região onde o Defender CSPM e os Bancos de Dados SQL do Azure são suportados. |
| Quais regiões da AWS são compatíveis? | S3: Ásia-Pacífico (Mumbai); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Montreal); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon). RDS: África (Cidade do Cabo); Ásia-Pacífico (RAE de Hong Kong); Ásia-Pacífico (Hyderabad); Ásia-Pacífico (Melbourne); Ásia-Pacífico (Mumbai); Ásia-Pacífico (Osaka); Ásia-Pacífico (Seul); Ásia-Pacífico (Singapura); Ásia-Pacífico (Sydney); Ásia-Pacífico (Tóquio); Canadá (Central); Europa (Frankfurt); Europa (Irlanda); Europa (Londres); Europa (Paris); Europa (Estocolmo); Europa (Zurique); Médio Oriente (EAU); América do Sul (São Paulo); Leste dos EUA (Ohio); Leste dos EUA (Norte da Virgínia); Oeste dos EUA (Norte da Califórnia): Oeste dos EUA (Oregon). A descoberta é feita localmente dentro da região. |
| Quais regiões GCP são suportadas? | Europa-Oeste1, EUA-Leste1, EUA-Oeste1, EUA-Central1, EUA-Leste4, Ásia-Sul1, América do Norte-Nordeste1 |
| Preciso instalar um agente? | Não, a descoberta não requer a instalação do agente. |
| Qual é o custo? | O recurso está incluído nos planos Defender CSPM e Defender for Storage e não incorre em custos extras, exceto os respetivos custos do plano. |
| De que permissões necessito para visualizar/editar definições de sensibilidade de dados? | Você precisa de uma destas funções do Microsoft Entra: Administrador Global, Administrador de Conformidade, Administrador de Dados de Conformidade, Administrador de Segurança, Operador de Segurança. |
| De que permissões necessito para realizar a integração? | Você precisa de uma dessas funções de controle de acesso baseado em função do Azure (Azure RBAC): Administrador de Segurança, Colaborador, Proprietário no nível de assinatura (onde residem o(s) projeto(s) GCP). Para consumir as descobertas de segurança: Leitor de segurança, Administrador de segurança, Leitor, Colaborador, Proprietário no nível de assinatura (onde residem o(s) projeto(s) GCP). |
Definindo configurações de sensibilidade de dados
As principais etapas para definir as configurações de confidencialidade de dados incluem:
- Importar tipos/rótulos de informações de sensibilidade personalizadas do portal de conformidade do Microsoft Purview
- Personalizar categorias/tipos de dados confidenciais
- Definir o limite para rótulos de sensibilidade
Saiba mais sobre rótulos de sensibilidade no Microsoft Purview.
Deteção
O Defender for Cloud começa a descobrir dados imediatamente após ativar um plano ou depois de ativar o recurso em planos que já estão em execução.
Para armazenamento de objetos:
- Demora até 24 horas a ver os resultados para uma primeira descoberta.
- Depois que os arquivos são atualizados nos recursos descobertos, os dados são atualizados em oito dias.
- Uma nova conta de armazenamento do Azure adicionada a uma assinatura já descoberta é descoberta em 24 horas ou menos.
- Um novo bucket do AWS S3 ou bucket de armazenamento do GCP adicionado a uma conta da AWS ou conta do Google já descoberta é descoberto em 48 horas ou menos.
Para as bases de dados:
- As bases de dados são analisadas semanalmente.
- Para subscrições recém-ativadas, os resultados são apresentados no prazo de 24 horas.
Descoberta de buckets do AWS S3
Para proteger os recursos da AWS no Defender for Cloud, você configura um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.
- Para descobrir recursos de dados da AWS, o Defender for Cloud atualiza o modelo do CloudFormation.
- O modelo CloudFormation cria uma nova função no AWS IAM, para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets do S3.
- Para conectar contas da AWS, você precisa de permissões de administrador na conta.
- A função permite estas permissões: S3 somente leitura; Desencriptação KMS.
Descoberta de instâncias do AWS RDS
Para proteger os recursos da AWS no Defender for Cloud, configure um conector da AWS usando um modelo do CloudFormation para integrar a conta da AWS.
- Para descobrir instâncias do AWS RDS, o Defender for Cloud atualiza o modelo do CloudFormation.
- O modelo CloudFormation cria uma nova função no AWS IAM, para permitir a permissão para que o scanner do Defender for Cloud tire o último snapshot automatizado disponível da sua instância e o coloque online em um ambiente de varredura isolado dentro da mesma região da AWS.
- Para conectar contas da AWS, você precisa de permissões de administrador na conta.
- Os snapshots automatizados precisam ser habilitados nas instâncias/clusters RDS relevantes.
- A função permite essas permissões (revise o modelo do CloudFormation para obter definições exatas):
- Listar todos os DBs/clusters RDS
- Copie todos os snapshots de banco de dados/cluster
- Excluir/atualizar DB/cluster snapshot com prefixo defenderfordatabases
- Listar todas as chaves KMS
- Usar todas as chaves KMS somente para RDS na conta de origem
- Crie controle total de & em todas as chaves KMS com o prefixo de tag DefenderForDatabases
- Criar alias para chaves KMS
- As chaves KMS são criadas uma vez para cada região que contém instâncias RDS. A criação de uma chave KMS pode incorrer em um custo extra mínimo, de acordo com a definição de preço do AWS KMS.
Descobrindo buckets de armazenamento GCP
Para proteger os recursos do GCP no Defender for Cloud, você pode configurar um conector do Google usando um modelo de script para integrar a conta do GCP.
- Para descobrir buckets de armazenamento GCP, o Defender for Cloud atualiza o modelo de script.
- O modelo de script cria uma nova função na Conta do Google para permitir permissão para o scanner do Defender for Cloud acessar dados nos buckets de armazenamento do GCP.
- Para conectar Contas do Google, você precisa de permissões de administrador na conta.
Exposto à internet/permite o acesso do público
Os caminhos de ataque do Defender CSPM e as informações do gráfico de segurança na nuvem incluem informações sobre recursos de armazenamento que estão expostos à Internet e permitem o acesso público. A tabela a seguir fornece mais detalhes.
| Distrito | Contas de armazenamento do Azure | AWS S3 Buckets | Buckets de armazenamento GCP |
|---|---|---|---|
| Exposto à internet | Uma conta de armazenamento do Azure é considerada exposta à Internet se uma destas configurações estiver habilitada: >Storage_account_name Rede>Acesso à>rede pública Ativado a partir de todas as redes ou >Storage_account_name Rede>Acesso à>rede pública Habilite a partir de redes virtuais e endereços IP selecionados. |
Um bucket do AWS S3 é considerado exposto à Internet se as políticas de bucket da conta da AWS/AWS S3 não tiverem uma condição definida para endereços IP. | Todos os buckets de armazenamento GCP são expostos à Internet por padrão. |
| Permite o acesso público | Um contêiner de conta de armazenamento do Azure é considerado como permitindo acesso público se estas configurações estiverem habilitadas na conta de armazenamento: >Configuração Storage_account_name Permitir>acesso>público de blob Habilitado. e qualquer uma destas configurações: >Storage_account_name Contêineres> container_name> Nível de acesso público definido como Blob (acesso de leitura anônimo somente para blobs) Ou, storage_account_name >Containers> container_name> Nível de acesso público definido como Container (acesso de leitura anônimo para contêineres e blobs). |
Considera-se que um bucket do AWS S3 permite acesso público se a conta da AWS e o bucket do AWS S3 tiverem Bloquear todo o acesso público definido como Desativado e qualquer uma destas configurações estiver definida: Na política, RestrictPublicBuckets não está habilitado e a configuração Principal está definida como * e Effect está definida como Allow. Ou, na lista de controle de acesso, IgnorePublicAcl não está habilitado e a permissão é permitida para Todos ou para usuários autenticados. |
Considera-se que um bucket de armazenamento GCP permite acesso público se: ele tiver uma função do IAM (Gerenciamento de Identidade e Acesso) que atenda a estes critérios: A função é concedida ao principal allUsers ou allAuthenticatedUsers. A função tem pelo menos uma permissão de armazenamento que nãoé storage.buckets.create ou storage.buckets.list. O acesso público no GCP é chamado de "Público para internet". |
Os recursos do banco de dados não permitem o acesso público, mas ainda podem ser expostos à Internet.
Estão disponíveis informações sobre a exposição na Internet para os seguintes recursos:
Azure:
- Servidor SQL do Azure
- Azure Cosmos DB
- Instância Gerida do Azure SQL
- Azure MySQL Servidor Único
- Azure MySQL Servidor Flexível
- Azure PostgreSQL Servidor Único
- Azure PostgreSQL Flexible Server
- Azure MariaDB Servidor Único
- Espaço de trabalho Sinapse
AWS:
- Instância do RDS
Nota
- As regras de exposição que incluem 0.0.0.0/0 são consideradas "excessivamente expostas", o que significa que podem ser acedidas a partir de qualquer IP público.
- Os recursos do Azure com a regra de exposição "0.0.0.0" são acessíveis a partir de qualquer recurso no Azure (independentemente do inquilino ou da subscrição).
Próximo passo
Habilite o gerenciamento de postura de segurança de dados.