Pular para o conteúdo principal

Laboratório Técnico: Identificar recursos de rede usando o Microsoft Defender for Cloud Security Explorer

Questões

Questão 1 — Múltipla Escolha

Um engenheiro de segurança precisa identificar todas as máquinas virtuais expostas à internet que estejam conectadas a sub-redes sem Network Security Group (NSG) associado. Ele decide usar o Security Explorer do Microsoft Defender for Cloud para construir uma consulta personalizada.

Qual característica fundamental do Security Explorer torna essa tarefa possível de forma mais eficiente do que consultas manuais no Azure Resource Graph?

A) O Security Explorer executa scripts KQL diretamente contra o Azure Monitor para cruzar dados de topologia de rede com alertas de segurança em tempo real.

B) O Security Explorer modela o ambiente como um grafo de segurança na nuvem, permitindo navegar por relações entre recursos e suas propriedades de segurança sem escrever consultas manuais.

C) O Security Explorer utiliza políticas do Azure para varrer recursos de rede e gerar relatórios de conformidade baseados em iniciativas de segurança ativas.

D) O Security Explorer consulta o Microsoft Entra ID para identificar identidades associadas a recursos de rede e cruza com dados de exposição pública.

Questão 2 — Cenário Técnico

Um analista recebe a seguinte solicitação:

"Preciso saber quais recursos de rede da nossa assinatura são acessíveis pela internet e possuem vulnerabilidades conhecidas não remediadas."

O analista abre o Security Explorer e começa a construir uma consulta. Ele seleciona como entidade inicial "Virtual Machine" e adiciona a condição "Exposed to the internet".

Ao tentar adicionar a condição relacionada a vulnerabilidades, ele percebe que precisa conectar uma relação adicional ao nó da VM.

Qual é a relação correta que ele deve adicionar para chegar às vulnerabilidades não remediadas vinculadas àquelas VMs?

A) Adicionar uma relação do tipo "Contains" apontando para o recurso "Subnet", e então filtrar por NSG ausente.

B) Adicionar uma relação do tipo "Has installed software" apontando para pacotes de sistema operacional desatualizados.

C) Adicionar uma relação do tipo "Has security findings" apontando para "Vulnerabilities", filtrando por status não remediado.

D) Adicionar uma relação do tipo "Connected to" apontando para "Public IP Address" e verificar o campo de severidade associado.

Questão 3 — Verdadeiro ou Falso

Afirmação: No Microsoft Defender for Cloud Security Explorer, é possível construir consultas que cruzem recursos de rede, como Virtual Networks e Subnets, com identidades gerenciadas e suas permissões excessivas, pois o grafo de segurança integra dados de postura de rede e de identidade na mesma superfície de consulta.

A afirmação é verdadeira ou falsa?

Questão 4 — Cenário Técnico

Uma equipe está investigando um incidente em que tráfego lateral suspeito foi detectado entre sub-redes de uma mesma VNet. O líder técnico solicita que o analista use o Security Explorer para mapear as relações entre os recursos de rede envolvidos.

O analista constrói a seguinte consulta:

Entidade inicial: Virtual Network
Relação: Contains → Subnet
Relação: Contains → Virtual Machine
Condição na VM: "Exposed to the internet" = true

Após executar a consulta, os resultados não incluem as VMs que o time sabe que existem naquelas sub-redes. A configuração do ambiente é a seguinte:

  • As VMs estão em sub-redes delegadas para serviços gerenciados da Microsoft
  • O plano Defender for Servers não está habilitado para essas assinaturas
  • As VMs possuem NSGs associados corretamente

Qual é a causa mais provável da ausência dos resultados?

A) A condição "Exposed to the internet" filtra automaticamente VMs protegidas por NSG, excluindo-as dos resultados.

B) O Security Explorer não consegue mapear relações em sub-redes delegadas porque elas pertencem ao provedor de serviço, não diretamente à assinatura do cliente.

C) Sem o plano Defender for Servers habilitado, as VMs não são ingeridas no grafo de segurança na nuvem e não aparecem nas consultas do Security Explorer.

D) A consulta está estruturada de forma incorreta porque a relação "Contains" não pode ser encadeada duas vezes a partir de uma mesma entidade raiz.

Questão 5 — Múltipla Escolha

Ao usar o Security Explorer para investigar recursos de rede, um engenheiro identifica um Public IP Address marcado como "Attached to a network interface" e com a condição "Exposed to the internet" confirmada. Ele deseja entender a qual máquina virtual esse IP está vinculado e se essa VM possui recomendações de segurança abertas de alta severidade.

Qual sequência de ações no Security Explorer representa a abordagem correta?

A) Iniciar a consulta pela entidade "Public IP Address", adicionar a relação "Attached to" apontando para "Virtual Machine", e então adicionar a condição "Has high severity recommendations" na VM.

B) Iniciar a consulta pela entidade "Virtual Machine", adicionar a condição "Exposed to the internet", e então adicionar a relação "Has public IP" apontando para "Public IP Address" com filtro de severidade.

C) Iniciar a consulta pela entidade "Network Interface", adicionar a relação "Connected to" para "Public IP Address" e separadamente consultar recomendações no painel de postura do Defender for Cloud.

D) Iniciar a consulta pela entidade "Subscription", descer via "Contains" até "Virtual Machine" e aplicar filtros de IP público e recomendações como condições simultâneas no mesmo nó.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Security Explorer é construído sobre o conceito de cloud security graph, um modelo de grafo que representa recursos do Azure como nós e as relações entre eles como arestas. Isso permite ao analista navegar por dependências complexas, como "VM exposta à internet conectada a sub-rede sem NSG", de forma visual e sem necessidade de escrever KQL ou scripts manuais.

A alternativa A confunde o Security Explorer com consultas do Azure Monitor via KQL, que têm propósito diferente. A alternativa C descreve o comportamento do Azure Policy, não do Security Explorer. A alternativa D introduz o Microsoft Entra ID como fonte de dados primária para recursos de rede, o que não reflete o funcionamento do grafo de segurança, cujo foco é postura de infraestrutura, não identidade diretamente.

Gabarito — Questão 2

Resposta: C

No Security Explorer, vulnerabilidades são representadas como nós separados no grafo, conectados às VMs pela relação "Has security findings". Essa relação expõe descobertas de segurança, incluindo CVEs identificados pelo Defender for Servers, e permite filtrar por status de remediação.

A alternativa A leva a análise para a camada de rede, não de vulnerabilidades de software. A alternativa B descreve um caminho que não existe como relação nativa no grafo do Security Explorer. A alternativa D conecta o IP público à VM, o que pode ser útil para exposição, mas não revela vulnerabilidades não remediadas. O equívoco central dos distratores é confundir exposição de rede com descobertas de vulnerabilidade, que são dimensões distintas no grafo.

Gabarito — Questão 3

Resposta: Verdadeiro

O grafo de segurança na nuvem do Microsoft Defender for Cloud integra múltiplas dimensões de postura, incluindo rede, identidade, dados e computação. Isso significa que uma consulta no Security Explorer pode, por exemplo, partir de uma Virtual Network, navegar até uma Virtual Machine, e a partir dela acessar a identidade gerenciada associada e verificar se essa identidade possui permissões excessivas.

Essa integração é exatamente o diferencial do Security Explorer em relação a ferramentas de consulta de recursos tradicionais: ele não trata rede e identidade como silos separados, mas como nós interconectados no mesmo grafo. Quem marcar como falso provavelmente subestima o escopo do grafo, imaginando que ele cobre apenas recursos de infraestrutura sem cruzar dados de identidade.

Gabarito — Questão 4

Resposta: C

O Security Explorer depende da ingestão de dados realizada pelos planos do Microsoft Defender for Cloud. Sem o plano Defender for Servers habilitado, as VMs não são representadas como nós no grafo de segurança na nuvem e, portanto, não aparecem em nenhuma consulta do Security Explorer, independentemente de sua configuração de rede.

A alternativa A está errada porque a presença de NSG não exclui VMs da condição "Exposed to the internet" automaticamente; a lógica de exposição depende da análise do tráfego permitido pelo NSG, não da sua simples existência. A alternativa B é um distrator plausível, mas sub-redes delegadas ainda pertencem à assinatura do cliente para fins de visibilidade no Defender for Cloud. A alternativa D está errada porque o encadeamento duplo de "Contains" é uma operação válida e suportada no Security Explorer.

Gabarito — Questão 5

Resposta: A

Quando o ponto de partida da investigação é um Public IP Address já identificado, a abordagem correta é iniciar a consulta por essa entidade. A relação "Attached to" conecta o IP público à interface de rede ou diretamente à VM, e a condição "Has high severity recommendations" pode ser adicionada como filtro no nó da VM para restringir os resultados ao que se deseja investigar.

A alternativa B inverte o ponto de partida sem necessidade, tornando a consulta menos direta para o cenário descrito. A alternativa C divide a investigação em duas superfícies separadas (Security Explorer e painel de postura), o que é menos eficiente e não aproveita a capacidade de cruzamento do grafo. A alternativa D parte da Subscription como entidade raiz, o que é tecnicamente possível, mas representa o caminho mais longo e menos preciso para o objetivo descrito. O ponto central é que o Security Explorer permite iniciar a consulta pela entidade mais relevante ao contexto, sem obrigar um ponto de entrada fixo.