Laboratório Técnico: Evaluate network security recommendations identified by Microsoft Defender for Cloud Secure Score
Questões
Questão 1 — Múltipla Escolha
Uma equipe de segurança observa que o Secure Score do ambiente caiu de 72% para 58% após uma mudança recente de infraestrutura. Ao investigar, identificam que várias recomendações relacionadas a rede passaram do status Healthy para Unhealthy. O gerente pergunta qual é a relação direta entre recomendações não atendidas e o Secure Score.
Qual afirmação descreve corretamente esse comportamento?
A) Cada recomendação contribui igualmente para o Secure Score, independentemente da criticidade ou do número de recursos afetados.
B) O Secure Score é calculado com base na proporção de recursos saudáveis em relação ao total de recursos avaliados por cada controle, ponderado pelo peso do controle.
C) O Secure Score reflete apenas recomendações classificadas como High severity, ignorando recomendações de severidade média ou baixa.
D) O Secure Score é atualizado somente quando o operador marca manualmente uma recomendação como resolvida no portal do Microsoft Defender for Cloud.
Questão 2 — Cenário Técnico
Um analista revisa as recomendações de rede no Microsoft Defender for Cloud e encontra a seguinte recomendação ativa:
Recomendação: "Network Watcher should be enabled"
Severidade: Medium
Estado: Unhealthy
Recursos afetados: 3 regiões
A equipe decide não habilitar o Network Watcher nessas regiões por restrições operacionais. Para evitar que essa recomendação continue impactando negativamente o Secure Score sem ser endereçada de forma adequada, qual é a ação correta no Defender for Cloud?
A) Excluir permanentemente a recomendação da assinatura usando uma Azure Policy de Deny.
B) Aplicar Exempt na recomendação para os recursos afetados, documentando a justificativa de isenção.
C) Alterar a severidade da recomendação para Low no painel do Defender for Cloud, reduzindo seu impacto no score.
D) Desabilitar o plano de Defender for Servers na assinatura para que as recomendações de rede não sejam mais coletadas.
Questão 3 — Múltipla Escolha
Ao avaliar recomendações de segurança de rede no Microsoft Defender for Cloud, um arquiteto compara duas recomendações:
| Recomendação | Severidade | Recursos afetados | Pontos máximos do controle |
|---|---|---|---|
| Recomendação A | High | 1 recurso | 8 pontos |
| Recomendação B | Medium | 40 recursos | 4 pontos |
Considerando apenas o impacto potencial no Secure Score ao remediar cada recomendação, qual afirmação é correta?
A) Remediar a Recomendação B gera maior ganho no Secure Score porque o número de recursos afetados determina diretamente os pontos recuperados.
B) Remediar a Recomendação A gera maior ganho no Secure Score porque o peso do controle ao qual ela pertence é maior, independentemente do número de recursos.
C) As duas recomendações geram o mesmo ganho no Secure Score porque severidade e número de recursos se compensam matematicamente.
D) Remediar a Recomendação B gera maior ganho no Secure Score apenas se todos os 40 recursos forem remediados simultaneamente; remediações parciais não contam.
Questão 4 — Cenário Técnico
Uma organização possui três assinaturas gerenciadas pelo Microsoft Defender for Cloud e utiliza um workspace do Azure Monitor centralizado. O time de networking percebe que a recomendação abaixo aparece de forma recorrente apenas em duas das três assinaturas:
Recomendação: "Adaptive network hardening recommendations should be applied on
internet facing virtual machines"
Severidade: High
Assinaturas afetadas: Sub-A, Sub-B
Assinatura saudável: Sub-C
Após investigação, identificam que as VMs na Sub-C não estão expostas à internet. A equipe quer garantir que a recomendação na Sub-C não seja avaliada desnecessariamente no futuro, sem desabilitar o Defender for Cloud nessa assinatura.
Qual abordagem resolve o problema de forma tecnicamente apropriada?
A) Criar uma regra de supressão de alertas no Microsoft Sentinel para filtrar eventos da Sub-C.
B) Aplicar uma isenção (Exemption) do tipo Waiver ou Mitigated na recomendação para os recursos da Sub-C, com escopo definido.
C) Remover as VMs da Sub-C do workspace centralizado do Azure Monitor para que não sejam coletadas pelo Defender for Cloud.
D) Alterar a política de Initiative do Defender for Cloud para excluir a definição de política correspondente a essa recomendação em todas as assinaturas.
Questão 5 — Verdadeiro ou Falso
Analisar as recomendações de rede no Microsoft Defender for Cloud que possuem o status Exempt em todos os recursos afetados resulta em ganho de pontos no Secure Score, pois o Defender for Cloud interpreta recursos isentos como recursos em conformidade.
Verdadeiro ou Falso?
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O Secure Score é calculado por controle, e cada controle agrupa recomendações relacionadas. A pontuação de um controle é proporcional à fração de recursos saudáveis dentro dele: se um controle tem peso de 6 pontos e 8 de 10 recursos estão saudáveis, o ganho parcial reflete essa proporção. Remediar mais recursos dentro de um controle aumenta progressivamente o score.
O principal equívoco representado pelos distratores é tratar o Secure Score como uma contagem binária de recomendações resolvidas ou como um sistema que só considera severidade High. Na prática, recomendações de severidade média e baixa também fazem parte de controles que impactam o score. A alternativa D confunde o fluxo de atualização: o Defender for Cloud reavalia os recursos automaticamente, sem necessidade de ação manual do operador.
Gabarito — Questão 2
Resposta: B
Quando uma organização tem uma razão legítima para não implementar uma recomendação, a ação correta é aplicar uma isenção (Exemption) no Defender for Cloud. Isenções podem ser do tipo Waiver (a organização aceita o risco) ou Mitigated (controles compensatórios estão em vigor). Recursos isentos são removidos do cálculo do Secure Score, evitando penalização contínua por uma decisão consciente.
A alternativa A confunde o mecanismo de Deny de Azure Policy, que bloqueia implantações, com o conceito de isenção de avaliação. A alternativa C é inválida porque a severidade de recomendações nativas do Defender for Cloud não pode ser alterada pelo operador. A alternativa D tem consequências muito mais amplas e destrutivas para a postura de segurança do ambiente, sendo desproporcional e incorreta para o problema descrito.
Gabarito — Questão 3
Resposta: B
No modelo de pontuação do Secure Score, o que determina o ganho potencial ao remediar uma recomendação é o peso do controle ao qual ela pertence, não a quantidade de recursos afetados nem a severidade isolada. Remediar a Recomendação A, que pertence a um controle de 8 pontos, tem maior potencial de ganho absoluto do que remediar a Recomendação B, cujo controle vale 4 pontos.
O equívoco central nos distratores é associar o número de recursos afetados ao ganho de pontos. Na realidade, o número de recursos afetados influencia o progresso dentro do controle de forma proporcional, mas o teto de pontos é sempre definido pelo peso do controle. A alternativa D introduz uma premissa falsa: remediações parciais dentro de um controle geram ganhos parciais no score, não são ignoradas.
Gabarito — Questão 4
Resposta: B
A abordagem correta é aplicar uma isenção com escopo definido para os recursos da Sub-C. O tipo Mitigated seria adequado nesse caso, pois as VMs não estão expostas à internet e o risco endereçado pela recomendação simplesmente não se aplica ao ambiente. A isenção remove esses recursos da avaliação sem desabilitar o plano do Defender for Cloud nem afetar as outras assinaturas.
A alternativa A mistura o Microsoft Sentinel com o Defender for Cloud: supressão de alertas no Sentinel não afeta avaliações de recomendações de postura. A alternativa C parte de um entendimento incorreto sobre a relação entre o workspace do Azure Monitor e o escopo de avaliação do Defender for Cloud, que é baseado em assinatura, não em workspace. A alternativa D afetaria todas as assinaturas vinculadas à initiative, incluindo Sub-A e Sub-B, onde a recomendação é válida e necessária.
Gabarito — Questão 5
Resposta: Falso
Recursos com status Exempt são excluídos do cálculo do Secure Score, e não tratados como recursos em conformidade. Isso significa que uma isenção não gera ganho de pontos: ela apenas remove a penalização associada àquele recurso. O numerador e o denominador do cálculo do controle são ambos ajustados para excluir o recurso isento.
Esse comportamento é importante para entender o real impacto de isenções na postura de segurança: elas são uma ferramenta de gerenciamento de exceções, não um mecanismo para inflar artificialmente o Secure Score. Organizações que isentam muitos recursos podem ter um score aparentemente alto que não reflete a postura real de segurança do ambiente.