Habilite o provisionamento automático do agente de monitoramento para coletar dados de segurança.

Quando o "Agente de análise de log para VMs do Azure" está ativado, o Microsoft Defender para nuvem provisiona o Microsoft Monitoring Agent em todas as máquinas virtuais do Azure compatíveis existentes e em todas as novas que forem criadas. O Microsoft Monitoring Agent verifica várias configurações e eventos relacionados à segurança, como atualizações do sistema, vulnerabilidades do SO, proteção de endpoint e fornece alertas.

O Microsoft Defender for Cloud envia e-mails aos proprietários da assinatura sempre que um alerta de alta gravidade é acionado para sua assinatura. Você deve fornecer um endereço de e-mail de contato de segurança como um endereço de e-mail adicional.

O Microsoft Defender para nuvem envia e-mails ao responsável pela assinatura para notificá-lo sobre alertas de segurança. Adicionar o endereço de e-mail do seu contato de segurança ao campo "Endereços de e-mail adicionais" garante que a Equipe de segurança da sua organização seja incluída nesses alertas. Isso garante que as pessoas apropriadas estejam cientes de qualquer possível comprometimento, a fim de mitigar o risco em tempo hábil.

Habilita alertas de segurança por e-mail para o responsável pela assinatura ou outro contato de segurança designado.

Habilitar e-mails de alerta de segurança garante que os e-mails de alerta de segurança sejam recebidos da Microsoft. Isso garante que as pessoas certas estejam cientes de quaisquer possíveis problemas de segurança e sejam capazes de mitigar o risco.

Habilite e-mails de alerta de segurança para os responsáveis pela assinatura.

Habilitar e-mails de alerta de segurança para os proprietários da assinatura garante que eles recebam e-mails de alerta de segurança da Microsoft. Isso garante que eles estejam cientes de quaisquer possíveis problemas de segurança e possam mitigar o risco em tempo hábil.

O serviço de Blob de armazenamento fornece armazenamento objetivo escalonável e econômico na nuvem.

O registro em log de armazenamento acontece no lado do servidor e permite que os detalhes das solicitações bem-sucedidas e com falha sejam registrados na conta de armazenamento. Esses logs permitem que os usuários vejam os detalhes das operações de leitura, gravação e exclusão em relação aos blobs. As entradas de log de registro em log de armazenamento contêm as seguintes informações sobre solicitações individuais: Informações de tempo, como hora de início, latência de ponta a ponta e latência do servidor, detalhes de autenticação, informações de simultaneidade e os tamanhos das mensagens de solicitação e resposta.

Os logs do Storage Analytics contêm informações detalhadas sobre solicitações bem-sucedidas e com falha para um serviço de armazenamento. Essas informações podem ser usadas para monitorar cada solicitação individual para um serviço de armazenamento para aumentar a segurança ou o diagnóstico. As solicitações são registradas com base no melhor esforço. O registro em log do Storage Analytics não está habilitado por padrão para sua conta de armazenamento.

O armazenamento da tabela de armazenamento é um serviço que armazena dados NoSQL de estrutura na nuvem, fornecendo um armazenamento de chave/atributo com um design sem esquema. O registro em log de armazenamento acontece no lado do servidor e permite que os detalhes das solicitações bem-sucedidas e com falha sejam registrados na conta de armazenamento. Esses logs permitem que os usuários vejam os detalhes das operações de leitura, gravação e exclusão nas tabelas. As entradas de log de registro em log de armazenamento contêm as seguintes informações sobre solicitações individuais: Informações de tempo, como hora de início, latência de ponta a ponta e latência do servidor, detalhes de autenticação, informações de simultaneidade e os tamanhos das mensagens de solicitação e resposta.

Os logs do Storage Analytics contêm informações detalhadas sobre solicitações bem-sucedidas e com falha para um serviço de armazenamento. Essas informações podem ser usadas para monitorar cada solicitação individual para um serviço de armazenamento para aumentar a segurança ou o diagnóstico. As solicitações são registradas com base no melhor esforço. O registro em log do Storage Analytics não está habilitado por padrão para sua conta de armazenamento.

O serviço Fila de armazenamento armazena mensagens que podem ser lidas por qualquer cliente que tenha acesso à conta de armazenamento. Uma fila pode conter um número ilimitado de mensagens, cada uma das quais pode ter até 64 KB usando a versão 2011-08-18 ou mais recente. O registro em log de armazenamento acontece no lado do servidor e permite que os detalhes das solicitações bem-sucedidas e com falha sejam registrados na conta de armazenamento. Esses logs permitem que os usuários vejam os detalhes das operações de leitura, gravação e exclusão nas filas. As entradas de log de registro em log de armazenamento contêm as seguintes informações sobre solicitações individuais: Informações de tempo, como hora de início, latência de ponta a ponta e latência do servidor, detalhes de autenticação, informações de simultaneidade e os tamanhos das mensagens de solicitação e resposta.

Os logs do Storage Analytics contêm informações detalhadas sobre solicitações bem-sucedidas e com falha para um serviço de armazenamento. Essas informações podem ser usadas para monitorar solicitações individuais e diagnosticar problemas com um serviço de armazenamento. As solicitações são registradas com base no melhor esforço.O registro em log do Storage Analytics não está habilitado por padrão para sua conta de armazenamento.

Habilitar verificações de serviço de Avaliação de vulnerabilidades (VA) para servidores SQL críticos e bancos de dados SQL correspondentes.

Habilite a Avaliação de vulnerabilidades (VA) Verificações recorrentes periódicas para servidores SQL críticos e bancos de dados SQL correspondentes.

Configure "Enviar relatórios de verificação para" com IDs de e-mail de proprietários/partes interessadas de dados envolvidos para servidores SQL críticos.

Habilitar a configuração de Avaliação de vulnerabilidades (VA) "Também enviar notificações por e-mail para administradores e responsáveis pela assinatura".

Use a Autenticação do Azure Active Directory para autenticação com o banco de dados SQL para gerenciar credenciais em um único lugar.

O TDE com suporte a chaves gerenciadas pelo cliente fornece maior transparência e controle sobre o TDE Protector, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Com o TDE, os dados são criptografados em repouso com uma chave simétrica (chamada de chave de criptografia do banco de dados) armazenada no banco de dados ou na distribuição do depósito de dados. Para proteger essa chave de criptografia de dados (DEK) no passado, somente um certificado gerenciado pelo Serviço SQL do Azure poderia ser usado.

Agora, com o suporte a chaves gerenciadas pelo cliente para TDE, o DEK pode ser protegido com uma chave assimétrica que é armazenada no Key Vault. O Key Vault é um armazenamento de chaves baseado em nuvem altamente disponível e escalonável que oferece gerenciamento central de chaves, aproveita os módulos de segurança de hardware (HSMs) validados pelo FIPS 140-2 de nível 2 e permite a separação do gerenciamento de chaves e dados para segurança adicional. Com base nas necessidades de negócios ou na criticidade dos dados/bancos de dados hospedados em um servidor SQL, é recomendável que o protetor de TDE seja criptografado por uma chave gerenciada pelo proprietário dos dados (chave gerenciada pelo cliente).

A configuração de diagnóstico deve ser definida para registrar as atividades apropriadas no plano de controle/gestão. Uma configuração de diagnóstico controla como o log de diagnóstico é exportado. Capturar as categorias de configuração de diagnóstico para as atividades apropriadas do plano de controle/gestão permite alertas adequados

Uma configuração de diagnóstico controla como o log de diagnóstico é exportado. Capturar as categorias de configuração de diagnóstico para as atividades apropriadas do plano de controle/gestão permite alertas adequados.

Habilite o registro em log do AuditEvent para instâncias de cofre de chaves para garantir que as interações com cofres de chaves sejam registradas e disponíveis.

Monitorar como e quando os cofres de chaves são acessados e por quem habilita uma trilha de auditoria de interações com informações confidenciais, chaves e certificados gerenciados pelo Azure Keyvault. Habilitar o registro em log para o Key Vault salva as informações em uma conta de armazenamento do Azure que o usuário fornece. Isso cria um novo contêiner chamado insights-logs-auditevent automaticamente para a conta de armazenamento especificada, e essa mesma conta de armazenamento pode ser usada para coletar logs para vários cofres de chave.

Certifique-se de que os discos desanexados em uma assinatura sejam criptografados com uma chave gerenciada pelo cliente (CMK).

Os discos gerenciados são criptografados por padrão com chaves gerenciadas por plataforma.

O uso de chaves gerenciadas pelo cliente pode fornecer um nível adicional de segurança ou atender aos requisitos regulatórios de uma organização.

Criptografar Managed Disks garante que todo o seu conteúdo seja totalmente irrecuperável sem uma chave e, portanto, protege o volume contra leituras injustificadas.

Mesmo que o disco não esteja anexado a nenhuma das VMs, sempre há um risco em que uma conta de usuário comprometida com acesso administrativo ao serviço de VM possa montar/anexar esses discos de dados, o que pode levar à divulgação de informações confidenciais e adulteração.

O cofre de chaves contém chaves de objeto, segredos e certificados. A indisponibilidade acidental de um cofre de chaves pode causar perda imediata de dados ou perda de funções de segurança (autenticação, validação, verificação, não repúdio etc.) compatíveis com os objetos do cofre de chaves.

É recomendável que o cofre de chaves seja recuperado habilitando as funções "Não limpar" e "Exclusão suave". Isso é para evitar a perda de dados criptografados, incluindo contas de armazenamento, bancos de dados SQL e/ou serviços dependentes fornecidos por objetos de cofre de chaves (chaves, segredos, certificados) etc., como pode acontecer no caso de exclusão acidental por um usuário ou de atividade perturbadora por um usuário mal-intencionado.

Pode haver cenários em que os usuários executam acidentalmente o cofre de chaves de comando de exclusão/limpeza ou o invasor/usuário mal-intencionado faz isso deliberadamente para causar interrupção. Excluir ou limpar um cofre de chaves leva à perda imediata de dados, pois as chaves que criptografam dados e segredos/certificados que permitem acesso/serviços se tornarão inacessíveis. Há 2 propriedades do cofre de chaves que desempenham papel na indisponibilidade permanente de um cofre de chaves.1.enableSoftDelete:Definir este parâmetro como verdadeiro para um cofre de chaves garante que, mesmo que o cofre de chaves seja excluído, o próprio cofre de chaves ou seus objetos permaneçam recuperáveis pelos próximos 90 dias. Neste período de 90 dias, o cofre/os objetos de chaves podem ser recuperados ou limpos (exclusão permanente). Se nenhuma ação for realizada, após 90 dias, o cofre de chaves e seus objetos serão limpos.2.enablePurgeProtection:enableSoftDelete garante que o cofre de chaves não seja excluído permanentemente e será recuperado por 90 dias a partir da data da exclusão. No entanto, há chances de que o cofre de chaves e/ou seus objetos sejam acidentalmente limpos e, portanto, não sejam recuperados. Definir enablePurgeProtection como "verdadeiro" garante que o cofre de chaves e seus objetos não possam ser limpos.Habilitar os parâmetros nos cofres de chaves garante que os cofres de chaves e seus objetos não possam ser excluídos/limpos permanentemente.

Azure Web Apps permitem que sites sejam executados em HTTP e HTTPS por padrão. Os aplicativos da Web podem ser acessados por qualquer pessoa usando links HTTP não seguros por padrão. As solicitações HTTP não seguras podem ser restritas e todas as solicitações HTTP redirecionadas para a porta HTTPS segura. É recomendável impor tráfego somente HTTPS.

Habilitar o tráfego somente HTTPS redirecionará todas as solicitações HTTP não seguras para portas HTTPS. HTTPS usa o protocolo TLS/SSL para fornecer uma conexão segura, que é criptografada e autenticada. Por isso, é importante oferecer suporte a HTTPS para os benefícios de segurança.