Laboratório Técnico: Activate and monitor distributed denial-of-service (DDoS) protection
Questões
Questão 1 — Múltipla Escolha
Uma organização possui três redes virtuais distintas no Azure, cada uma em uma região diferente, e deseja aplicar proteção contra DDoS em todas elas. O time de segurança precisa garantir cobertura consistente com o menor esforço administrativo possível.
Qual abordagem atende melhor a esse requisito?
A) Criar um plano do DDoS Network Protection e associá-lo a cada uma das três redes virtuais individualmente.
B) Habilitar o DDoS IP Protection diretamente em cada endereço IP público das redes virtuais.
C) Criar um plano do DDoS Network Protection por região e associar cada plano à rede virtual correspondente.
D) Ativar a proteção padrão do Azure, que já cobre todas as redes virtuais automaticamente sem configuração adicional.
Questão 2 — Cenário Técnico
Um engenheiro de rede configurou um alerta no Azure Monitor para acionar quando o recurso Under DDoS attack retornar o valor 1 em um IP público protegido. Durante um teste simulado, o ataque foi detectado pelo Azure, mas o alerta não disparou.
Considere a configuração abaixo:
Recurso monitorado : IP público (pip-frontend)
Métrica : Under DDoS attack
Condição : Maior que 0
Período de avaliação: 1 minuto
Agregação : Máximo
Qual é a causa mais provável da falha no disparo do alerta?
A) A métrica Under DDoS attack não é compatível com alertas baseados em métricas do Azure Monitor.
B) O período de avaliação de 1 minuto é insuficiente; o mínimo exigido pela métrica é de 5 minutos.
C) O IP público monitorado não está associado a uma rede virtual vinculada a um plano do DDoS Network Protection ativo.
D) A agregação Máximo é incompatível com métricas binárias; deve-se usar Contagem.
Questão 3 — Verdadeiro ou Falso
O DDoS IP Protection oferece as mesmas políticas de mitigação adaptativa e telemetria de ataque em tempo real que o DDoS Network Protection, diferenciando-se apenas pelo escopo de aplicação: o IP Protection cobre endereços IP públicos individuais, enquanto o Network Protection cobre todos os IPs de uma rede virtual inteira.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa hospeda uma aplicação crítica atrás de um Azure Application Gateway com WAF habilitado. O time de segurança ativou o DDoS Network Protection na rede virtual onde o Application Gateway está implantado. Durante um incidente, o time percebe que as políticas de mitigação do DDoS não estão sendo ajustadas de forma otimizada para o tráfego da aplicação.
Qual ação corrige esse comportamento?
A) Substituir o Application Gateway por um Azure Load Balancer, pois o DDoS não integra políticas adaptativas com WAF.
B) Criar e associar uma política de DDoS ao recurso do Application Gateway, permitindo que os limites de mitigação sejam ajustados ao perfil de tráfego desse recurso específico.
C) Mover o Application Gateway para uma sub-rede dedicada e aplicar um Network Security Group restritivo para complementar a mitigação.
D) Habilitar o diagnóstico de fluxo no DDoS Protection e aguardar que o sistema aprenda o perfil de tráfego automaticamente sem configuração adicional.
Questão 5 — Múltipla Escolha
Um analista precisa investigar um ataque de DDoS que ocorreu na semana anterior. Ele deseja visualizar métricas como pacotes descartados, pacotes encaminhados e vetores de ataque utilizados durante o evento.
Qual recurso do Azure deve ser consultado para obter essas informações?
A) Microsoft Defender for Cloud, na seção de alertas de segurança de rede.
B) Azure Network Watcher, por meio dos logs de fluxo do NSG associados à sub-rede afetada.
C) Azure Monitor, consultando as métricas disponíveis no recurso de IP público protegido pelo plano DDoS.
D) Log Analytics Workspace, por meio dos logs de diagnóstico do plano do DDoS Network Protection exportados via Diagnostic Settings.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: A
Um único plano do DDoS Network Protection pode ser associado a múltiplas redes virtuais, inclusive em regiões diferentes. Essa é exatamente a vantagem administrativa do modelo baseado em plano: centralizar a cobertura sem multiplicar recursos.
A alternativa C representa um equívoco comum: acreditar que o plano é restrito à região onde foi criado. Na prática, o plano é um recurso global que pode ser vinculado a VNets em qualquer região do Azure.
A alternativa B descreve o DDoS IP Protection, que é aplicado por IP individual e não oferece o mesmo nível de gerenciamento centralizado. A alternativa D é falsa: a proteção padrão do Azure oferece apenas mitigação básica de infraestrutura, sem cobertura granular por VNet ou recurso.
Gabarito — Questão 2
Resposta: C
A métrica Under DDoS attack só é emitida por IPs públicos que estão efetivamente cobertos por um plano ativo do DDoS Network Protection ou pelo DDoS IP Protection. Se o IP público pip-frontend não estiver associado a uma VNet vinculada a um plano ativo, a métrica simplesmente não será populada, e o alerta nunca disparará, independentemente da configuração do Azure Monitor.
A alternativa A é falsa: essa métrica é suportada nativamente pelo Azure Monitor. A alternativa B é incorreta porque não existe restrição de período mínimo dessa natureza para essa métrica. A alternativa D também está errada: a agregação Máximo é adequada para métricas binárias (0 ou 1), pois captura o pico no período avaliado.
Gabarito — Questão 3
Resposta: Falso
O DDoS IP Protection e o DDoS Network Protection não são equivalentes em recursos. O Network Protection oferece capacidades adicionais que o IP Protection não inclui, como o suporte a políticas de DDoS personalizadas por recurso, acesso ao DDoS Rapid Response team da Microsoft e relatórios de mitigação mais detalhados.
Afirmar que a única diferença é o escopo de aplicação ignora essas distinções funcionais relevantes, o que pode levar a uma escolha inadequada de SKU para ambientes de produção críticos. A decisão entre os dois modelos deve considerar requisitos de SLA, suporte e visibilidade, não apenas cobertura de IPs.
Gabarito — Questão 4
Resposta: B
O DDoS Network Protection aprende o perfil de tráfego de cada IP público individualmente. Quando um recurso como o Application Gateway concentra grandes volumes de tráfego legítimo, os limites de mitigação padrão podem não refletir esse perfil com precisão. A criação de uma política de DDoS associada ao recurso permite ajustar os thresholds de mitigação para o comportamento real daquele IP, reduzindo falsos positivos e aumentando a eficácia da proteção.
A alternativa A é incorreta: o DDoS integra-se normalmente com Application Gateway e WAF. A alternativa C aborda segmentação de rede, que é uma prática válida, mas não resolve o problema de ajuste de política descrito. A alternativa D é imprecisa: o aprendizado adaptativo já ocorre automaticamente, mas sem uma política explícita os limites padrão podem permanecer inadequados para tráfego de alta escala.
Gabarito — Questão 5
Resposta: C
As métricas de ataque DDoS, incluindo pacotes descartados, pacotes encaminhados e vetores utilizados, são expostas diretamente como métricas do Azure Monitor no recurso de IP público protegido. Essa é a forma nativa e imediata de inspecionar o comportamento durante e após um evento.
A alternativa D descreve um caminho válido para retenção de longo prazo e análise avançada via Log Analytics, mas exige que o Diagnostic Settings tenha sido configurado previamente para exportar os logs. Se essa configuração não existia antes do ataque, os dados históricos não estarão disponíveis nesse destino. A alternativa B é inadequada porque logs de fluxo de NSG registram conexões aceitas ou negadas, não métricas de mitigação DDoS. A alternativa A é incorreta porque o Defender for Cloud não é a ferramenta primária para telemetria granular de eventos DDoS.