Perguntas comuns sobre questões de conformidade regulatória

O MCSB (Microsoft Cloud Security Benchmark) é o conjunto canônico de recomendações de segurança e melhores práticas definidas pela Microsoft, alinhadas com as estruturas de controle de conformidade comuns, incluindo o CIS Control Framework, NIST SP 800-53 e PCI-DSS. O MCSB é um conjunto abrangente de princípios de segurança na nuvem projetado para recomendar as diretrizes técnicas mais atualizadas do Azure, juntamente com outras nuvens, como AWS e GCP. Recomendamos o MCSB aos clientes que desejam maximizar a postura de segurança e alinhar o status de conformidade com os padrões do setor.

O CIS Benchmark é criado por uma entidade independente - Center for Internet Security (CIS) - e contém recomendações sobre um subconjunto dos principais serviços do Azure. Trabalhamos com o CIS para tentar garantir que as recomendações dele estejam atualizadas com os aprimoramentos mais recentes no Azure, mas elas às vezes atrasam e ficam desatualizadas. No entanto, alguns clientes gostam de usar esse objetivo, a avaliação de terceiros do CIS, como sua linha de base de segurança inicial e primária.

Desde que lançamos o parâmetro de comparação de segurança de nuvem da Microsoft, muitos clientes optaram por migrar para ele como um substituto dos parâmetros de comparação de CIS.

Por padrão, o painel de conformidade regulatória mostra o Microsoft Cloud Security Benchmark. O Microsoft Cloud Security Benchmark é composto pelas diretrizes específicas da Microsoft para as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Saiba mais em Introdução ao Microsoft Cloud Security Benchmark.

Para acompanhar a sua conformidade com qualquer outro padrão, você precisará adicioná-lo explicitamente ao seu painel.

Para obter uma lista de padrões regulatórios disponíveis, consulte Quais padrões de conformidade regulatória estão disponíveis no Defender para Nuvem.

AWS: quando os usuários integram, cada conta da AWS tem as Melhores Práticas de Segurança Básica da AWS atribuídas. Esta é a diretriz específica da AWS com as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns.

Os usuários que têm um pacote do Defender habilitado podem habilitar outros padrões.

Para adicionar padrões de conformidade regulatória em contas da AWS:

1. Navegue até as Configurações de ambiente.

2. Selecione a conta relevante.

3. Selecione Padrões.

4. Selecione Adicionar e escolha Padrão.

5. Escolha um padrão no menu suspenso.

6. Selecione Salvar.

   

Mais padrões serão adicionados ao painel e incluídos nas informações sobre como Personalizar o conjunto de padrões no seu painel de conformidade regulatória.

Para cada padrão de conformidade no painel, há uma lista dos controles padrão. Nos controles aplicáveis, você poderá exibir os detalhes das avaliações aprovadas e reprovadas.

Alguns controles estão esmaecidos. Esses controles não têm nenhuma avaliação do Defender para Nuvem associada a eles. Alguns podem ser relacionados aos procedimentos ou processos e, portanto, não podem ser verificados pelo Defender para Nuvem. Alguns ainda não têm políticas ou avaliações automatizadas implementadas, mas terão no futuro. E alguns controles podem ser de responsabilidade da plataforma, conforme explicado em Responsabilidade compartilhada na nuvem.

Para personalizar o painel de conformidade regulatória e se concentrar apenas nos padrões que se aplicam a você, é possível remover todos os padrões regulatórios exibidos que não sejam relevantes para a sua organização. Para remover um padrão, siga as instruções em Remover um padrão do seu painel.

Depois de tomar medidas para resolver as recomendações, espere 12 horas para ver as mudanças nos dados de conformidade. As avaliações são executadas aproximadamente a cada 12 horas. Portanto, você verá o efeito sobre seus dados de conformidade somente após a execução das avaliações.

Para acessar todos os dados de conformidade em seu locatário, você precisa ter pelo menos um nível de permissões de Leitor no escopo aplicável do seu locatário ou todas as assinaturas relevantes.

O conjunto mínimo de funções para acessar o painel e gerenciar padrões é Colaborador de Política de Recursos e Administrador de Segurança.

Para usar o painel de conformidade regulatória, o Defender para Nuvem precisa estar habilitado no nível da assinatura. Se painel não estiver carregando corretamente, tente realizar as seguintes etapas:

1. Limpe o cache do navegador.
2. Tente usar um navegador diferente.
3. Tente abrir o painel em uma localização de rede diferente.

No painel principal, você vê um relatório de controles aprovados e reprovados para (1) os quatro padrões de conformidade mais baixos no painel. Para ver todo o status dos controles aprovados/reprovados, selecione (2) Mostrar todos os x (em que x é o número de padrões que você está acompanhando). Um painel de contexto exibe o status de conformidade de cada um dos seus padrões rastreados.

Ao selecionar Baixar relatório, selecione o padrão e o formato (PDF ou CSV). O relatório resultante refletirá o conjunto atual de assinaturas que você selecionou no filtro do portal.

• O relatório em PDF mostra um status de resumo do padrão selecionado
• O relatório em CSV fornece resultados detalhados por recurso, pois ele se relaciona com as políticas associadas a cada controle

Atualmente, não há suporte para baixar um relatório para uma política personalizada; somente para os padrões regulatórios fornecidos.

Para as recomendações do MCSB que estão incluídas na classificação de segurança, você pode criar isenções para um ou mais recursos diretamente no portal, conforme explicado em Isenção de recursos e recomendações da sua classificação de segurança.

Para outras recomendações, você pode criar uma isenção diretamente na própria recomendação, seguindo as instruções em Estrutura de isenção do Azure Policy.

Se você tiver qualquer um dos planos do Microsoft Defender (exceto o Defender for Servers Plan 1) habilitado em qualquer um dos seus recursos do Azure, você poderá acessar o painel de conformidade regulatória do Defender for Cloud e todos os seus dados e recursos.