Pular para o conteúdo principal

Laboratório Técnico: Evaluate network security recommendations identified by Microsoft Defender for Cloud attack paths

Questões

Questão 1 — Múltipla Escolha

O Microsoft Defender for Cloud identifica um attack path em um ambiente Azure que envolve uma máquina virtual exposta à internet pública com uma porta de gerenciamento aberta e sem autenticação multifator aplicada à conta de acesso. Ao analisar esse attack path no portal, o engenheiro percebe que ele recebe uma pontuação de risco elevada.

Qual é o critério principal que o Defender for Cloud utiliza para calcular o nível de risco de um attack path?

A) O número de recomendações de segurança pendentes associadas aos recursos envolvidos no caminho.

B) A combinação entre a probabilidade de exploração e o impacto potencial sobre os recursos alcançáveis ao final do caminho.

C) A severidade individual da vulnerabilidade de entrada identificada no primeiro nó do caminho.

D) O tempo decorrido desde que o recurso vulnerável foi implantado sem correção aplicada.

Questão 2 — Cenário Técnico

Um engenheiro de rede recebe o seguinte alerta do Microsoft Defender for Cloud:

Attack path detected:
  [Internet] --> [Public IP: 203.0.113.45]
               --> [VM: prod-web-01 | Port 22 open]
               --> [Storage Account: sa-backups-prod | Public access enabled]

Risk level: Critical
Recommendation: Restrict SSH access and disable public blob access on storage account.

O engenheiro aplica um Network Security Group (NSG) restringindo o acesso à porta 22 da VM somente a um intervalo de IPs corporativos. Após reavaliar, o Defender for Cloud ainda mantém o attack path como ativo e crítico.

Qual é a causa mais provável para o attack path permanecer ativo após a mudança no NSG?

A) O Defender for Cloud não reconhece regras de NSG como controles de mitigação válidos para attack paths.

B) A recomendação sobre o Storage Account com acesso público habilitado ainda não foi endereçada, mantendo o destino do caminho vulnerável.

C) O NSG foi aplicado à interface de rede da VM, mas o attack path é calculado com base em rotas de nível de plataforma que ignoram NSGs.

D) O Defender for Cloud requer um período de até 72 horas para reavaliar attack paths após qualquer mudança de configuração.

Questão 3 — Verdadeiro ou Falso

Afirmação: No Microsoft Defender for Cloud, desabilitar uma recomendação de segurança associada a um nó intermediário de um attack path é suficiente para que o caminho seja automaticamente removido da lista de attack paths ativos, independentemente do estado dos demais nós do caminho.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma equipe de segurança analisa o seguinte attack path identificado pelo Defender for Cloud:

Attack path:
  [Internet]
    --> [Application Gateway: agw-prod | WAF desabilitado]
    --> [AKS Cluster: aks-prod | API Server exposto publicamente]
    --> [Key Vault: kv-secrets-prod | Acesso de rede irrestrito]

Recomendações vinculadas:
  1. Enable WAF on Application Gateway (Severity: High)
  2. Restrict AKS API Server access (Severity: High)
  3. Configure Key Vault firewall (Severity: Medium)

A equipe decide priorizar apenas a recomendação 3 (firewall do Key Vault) por ser a que protege o recurso mais crítico ao negócio. Após aplicar o firewall do Key Vault, o attack path é reavaliado.

Qual é o comportamento esperado do Defender for Cloud após essa ação isolada?

A) O attack path é removido, pois o recurso final foi protegido e o objetivo do atacante não pode mais ser concluído.

B) O attack path permanece ativo, pois os dois nós intermediários ainda apresentam vulnerabilidades que permitem a progressão do ataque.

C) O Defender for Cloud reclassifica o attack path de crítico para médio, refletindo a mitigação parcial aplicada.

D) O attack path é suspenso temporariamente enquanto o Defender for Cloud recalcula o grafo de segurança com os novos dados.

Questão 5 — Múltipla Escolha

Um arquiteto de segurança precisa diferenciar, no Microsoft Defender for Cloud, o que é uma recomendação de segurança de um attack path.

Qual das afirmações abaixo descreve corretamente a diferença entre esses dois conceitos?

A) Recomendações de segurança identificam configurações incorretas em recursos individuais, enquanto attack paths modelam sequências de vulnerabilidades encadeadas que um atacante poderia explorar para atingir um recurso crítico.

B) Attack paths são gerados exclusivamente a partir de alertas de segurança ativos, enquanto recomendações são baseadas em políticas de conformidade configuradas pelo administrador.

C) Recomendações de segurança têm escopo global sobre a assinatura, enquanto attack paths são restritos a recursos dentro de um único grupo de recursos.

D) Attack paths substituem as recomendações de segurança quando o Defender for Cloud detecta que múltiplas recomendações afetam o mesmo recurso simultaneamente.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Defender for Cloud calcula o risco de um attack path combinando dois eixos: a probabilidade de exploração (considerando exposição à internet, ausência de controles como MFA, portas abertas) e o impacto potencial (quais recursos sensíveis são alcançáveis ao final do caminho). Esse modelo reflete o conceito de risco contextual, não apenas a gravidade isolada de uma vulnerabilidade.

A alternativa A descreve o mecanismo de Secure Score, não de attack paths. A alternativa C seria uma visão incompleta, pois considera apenas o ponto de entrada. A alternativa D introduz um critério de tempo que não faz parte do modelo de risco do Defender for Cloud.

Gabarito — Questão 2

Resposta: B

Um attack path é modelado como uma cadeia completa de vulnerabilidades. Para que ele seja removido ou reclassificado, todos os elos críticos do caminho precisam ser endereçados. Nesse cenário, a VM teve seu acesso SSH restringido, mas o Storage Account com acesso público habilitado representa o destino final vulnerável do caminho. Enquanto esse nó permanecer exposto, o attack path continua válido.

A alternativa A é incorreta: NSGs são reconhecidos como controles de rede válidos. A alternativa C é incorreta: attack paths consideram sim regras de NSG na modelagem do grafo. A alternativa D pode existir alguma latência de atualização, mas o motivo principal do caminho persistir é a vulnerabilidade não corrigida no Storage Account, não um atraso de processamento.

Gabarito — Questão 3

Resposta: Falso

Desabilitar uma recomendação associada a um nó intermediário não remove o attack path automaticamente. O Defender for Cloud avalia o caminho como um grafo de vulnerabilidades encadeadas. Desabilitar uma recomendação significa apenas que ela não será exibida como pendente para aquele recurso, mas o estado de configuração subjacente do recurso não muda. Se a vulnerabilidade real no nó intermediário persistir, o caminho continua sendo computado como ativo.

Essa distinção é importante: desabilitar uma recomendação é uma ação administrativa, não uma correção técnica. Somente a remediação efetiva da configuração vulnerável altera o estado do grafo de ataque.

Gabarito — Questão 4

Resposta: B

O Defender for Cloud mantém um attack path ativo enquanto existir uma rota explorável entre o ponto de entrada e um recurso crítico. Proteger o destino final (Key Vault) impede que o objetivo final seja concluído, mas os nós intermediários (Application Gateway sem WAF e AKS com API exposta) ainda representam pontos de comprometimento progressivo. O Defender for Cloud avalia a viabilidade do caminho como um todo, não apenas a proteção do destino.

A alternativa A representa um equívoco comum: proteger o destino final não invalida o caminho se os vetores de entrada e progressão ainda existem. As alternativas C e D descrevem comportamentos que o Defender for Cloud não executa dessa forma, não há reclassificação automática parcial nem suspensão temporária do caminho.

Gabarito — Questão 5

Resposta: A

Recomendações de segurança identificam configurações incorretas ou ausência de controles em recursos individuais, sem necessariamente considerar como essas falhas se combinam. Attack paths vão além: usam o Cloud Security Graph para modelar sequências realistas de exploração, conectando vulnerabilidades de múltiplos recursos em uma cadeia que representa o raciocínio de um atacante.

A alternativa B é incorreta porque attack paths não dependem de alertas ativos; eles são computados a partir do estado de configuração dos recursos. A alternativa C é incorreta porque tanto recomendações quanto attack paths operam em escopo de assinatura ou multicloud, sem restrição por grupo de recursos. A alternativa D é incorreta porque attack paths e recomendações coexistem e se complementam; um não substitui o outro.