Laboratório de Troubleshooting: Identify network resources by using Microsoft Defender for Cloud Security Explorer
Cenários de Diagnóstico
Cenário 1 — Causa Raiz
Uma equipe de segurança utiliza o Security Explorer do Microsoft Defender for Cloud para monitorar recursos de rede. Durante uma revisão de rotina, um analista nota que várias Virtual Machines de uma assinatura de produção simplesmente não aparecem nos resultados de nenhuma consulta construída no Security Explorer, mesmo quando a consulta não aplica filtro algum além da entidade "Virtual Machine".
O ambiente apresenta as seguintes características:
- A assinatura está vinculada ao tenant correto do Microsoft Entra ID
- As VMs estão em execução e respondendo a pings internos normalmente
- O plano Defender for Storage está habilitado e funcionando na mesma assinatura
- A assinatura possui uma política do Azure ativa auditando configurações de NSG
- O plano Defender for Servers está listado como disponível, mas não provisionado
O analista suspeita que o problema está na política de auditoria de NSG, pois ela foi aplicada recentemente e pode estar interferindo na ingestão de dados.
Qual é a causa raiz da ausência das VMs nas consultas do Security Explorer?
A) A política de auditoria de NSG aplicada recentemente está bloqueando a ingestão de metadados das VMs no grafo de segurança.
B) O plano Defender for Servers não está habilitado, portanto as VMs não são ingeridas no grafo de segurança na nuvem e não aparecem no Security Explorer.
C) O plano Defender for Storage está consumindo a cota de ingestão da assinatura, impedindo que outros recursos sejam incluídos no grafo.
D) O vínculo da assinatura com o Microsoft Entra ID está correto, mas o Security Explorer requer que as VMs estejam registradas no Microsoft Entra ID como dispositivos gerenciados.
Cenário 2 — Decisão de Ação
A equipe de segurança identificou que o Security Explorer não está retornando resultados para consultas envolvendo Public IP Addresses em uma assinatura específica. Após investigação, confirmou-se que a causa é a ausência do plano Defender for Cloud adequado para cobrir recursos de rede nessa assinatura.
O contexto de restrições é o seguinte:
- A assinatura é compartilhada com uma equipe de desenvolvimento que realiza deploys contínuos durante o horário comercial
- Habilitar novos planos do Defender for Cloud pode alterar comportamentos de alertas e aumentar custos da assinatura imediatamente
- O líder técnico aprovou a habilitação do plano, mas solicitou que a ação ocorra fora do horário de pico para evitar interferências
- Um incidente de segurança ativo está sendo investigado, e o Security Explorer seria necessário para identificar IPs expostos relacionados ao incidente
- A equipe possui permissões suficientes para habilitar o plano agora
Qual é a ação correta a tomar neste momento?
A) Aguardar o horário fora de pico conforme solicitado pelo líder técnico e apenas então habilitar o plano, mesmo com o incidente ativo.
B) Habilitar o plano imediatamente, pois a investigação de um incidente ativo é uma restrição que sobrepõe a orientação de horário de pico, e a equipe já possui aprovação e permissões.
C) Solicitar ao líder técnico uma aprovação formal adicional específica para o incidente antes de agir, pois a aprovação original foi dada em contexto diferente.
D) Usar o Azure Resource Graph como alternativa temporária para identificar os IPs expostos e adiar a habilitação do plano para depois do incidente.
Cenário 3 — Causa Raiz
Um analista constrói a seguinte consulta no Security Explorer para identificar sub-redes sem NSG associado:
Entidade inicial: Virtual Network
Relação: Contains → Subnet
Condição na Subnet: "Not protected by NSG" = true
A consulta é executada com sucesso e retorna uma lista de sub-redes. No entanto, ao validar manualmente no portal do Azure, o analista percebe que algumas sub-redes que claramente não possuem NSG associado não aparecem nos resultados.
O ambiente possui as seguintes características:
- Todas as assinaturas relevantes estão no mesmo tenant do Microsoft Entra ID
- O plano Defender for Servers está habilitado em todas as assinaturas
- Algumas das sub-redes ausentes pertencem a uma assinatura recém-adicionada ao escopo do Defender for Cloud há 3 horas
- Todas as VNets visíveis no portal do Azure têm tags de ambiente aplicadas corretamente
- O analista possui permissão de leitura em todas as assinaturas relevantes
O analista inicialmente suspeita que as tags de ambiente podem estar filtrando os resultados, mas a consulta não aplica nenhuma condição de tag.
Qual é a causa raiz das sub-redes ausentes nos resultados?
A) As tags de ambiente estão interferindo na indexação dos recursos no grafo de segurança, mesmo sem filtro explícito na consulta.
B) O analista não possui permissão de escrita nas assinaturas, o que impede o Security Explorer de incluir esses recursos nos resultados.
C) O grafo de segurança na nuvem ainda não concluiu a ingestão dos recursos da assinatura recém-adicionada ao escopo, pois esse processo não é instantâneo.
D) Sub-redes sem NSG associado só aparecem no Security Explorer se houver pelo menos uma VM provisionada nelas, pois o grafo as indexa a partir de recursos de computação.
Cenário 4 — Sequência de Diagnóstico
Um engenheiro recebe o seguinte relato:
"Construí uma consulta no Security Explorer para encontrar VMs expostas à internet com recomendações abertas de alta severidade, mas o resultado está vazio. Tenho certeza de que existem VMs nessa condição."
O engenheiro precisa investigar a causa do resultado vazio. Os passos de investigação disponíveis são:
- Passo P: Verificar se o plano Defender for Servers está habilitado nas assinaturas relevantes
- Passo Q: Confirmar se as VMs aparecem em uma consulta sem nenhuma condição aplicada
- Passo R: Verificar se há recomendações de alta severidade abertas no painel de postura do Defender for Cloud para essas VMs
- Passo S: Confirmar se a condição "Exposed to the internet" retorna resultados quando usada isoladamente, sem o filtro de recomendações
- Passo T: Revisar a estrutura da consulta para verificar se as relações e condições foram encadeadas corretamente
Qual é a sequência correta de investigação?
A) T, P, Q, S, R
B) P, Q, S, R, T
C) Q, P, S, R, T
D) P, Q, T, S, R
Gabarito e Explicações
Gabarito — Cenário 1
Resposta: B
A pista decisiva está na descrição: o plano Defender for Servers está listado como disponível, mas não provisionado. O Security Explorer depende inteiramente do grafo de segurança na nuvem, e esse grafo só inclui VMs quando o plano Defender for Servers está habilitado na assinatura. Sem esse plano, as VMs simplesmente não existem como nós no grafo, independentemente de qualquer outra configuração.
A informação irrelevante neste cenário é a política de auditoria de NSG. Ela é plausível como suspeita porque foi aplicada recentemente, mas políticas do Azure que auditam configurações de rede não têm relação com o mecanismo de ingestão do Defender for Cloud. O próprio analista foi induzido por esse detalhe, o que representa o erro de raciocínio mais comum: focar na mudança recente em vez de verificar os pré-requisitos fundamentais do serviço.
A alternativa C é um distrator perigoso porque soa como um problema de cota ou interferência entre planos, algo que parece técnico e plausível, mas não existe como comportamento real do Defender for Cloud. A alternativa D confunde o registro de dispositivos no Microsoft Entra ID com o requisito de habilitação de plano, que são conceitos completamente distintos.
Se um analista agisse com base na alternativa A, investigaria e ajustaria a política de NSG sem resultado, perdendo tempo crítico enquanto a lacuna de visibilidade persiste.
Gabarito — Cenário 2
Resposta: B
A restrição de horário de pico foi estabelecida em contexto normal de operação. A presença de um incidente de segurança ativo representa uma condição excepcional que altera a equação de risco: o custo de não agir, que é a continuidade de um incidente sem visibilidade dos IPs expostos, é maior do que o risco de habilitar o plano durante horário comercial. A equipe já possui aprovação do líder técnico e permissões suficientes, o que elimina qualquer bloqueio formal.
A alternativa A representa o erro de aplicar uma regra operacional de forma rígida sem considerar o contexto de risco atual. Regras de mudança existem para proteger a estabilidade, não para impedir resposta a incidentes.
A alternativa C representa burocracia desnecessária: a aprovação já foi concedida, e solicitar uma nova aprovação adiciona latência sem agregar segurança ao processo.
A alternativa D é o distrator mais perigoso porque parece pragmática. O Azure Resource Graph pode listar IPs públicos, mas não fornece o contexto de segurança que o Security Explorer oferece, como relações com VMs, estado de exposição e recomendações abertas. Usar essa alternativa significa trabalhar com informação incompleta durante um incidente ativo.
Gabarito — Cenário 3
Resposta: C
A pista decisiva é o intervalo de tempo: a assinatura foi adicionada ao escopo do Defender for Cloud há apenas 3 horas. O grafo de segurança na nuvem não é atualizado instantaneamente após a inclusão de uma nova assinatura. Existe um período de latência de ingestão durante o qual os recursos recém-descobertos ainda não estão disponíveis como nós no grafo. Consultas executadas nesse intervalo retornam resultados parciais sem nenhuma mensagem de erro, o que torna o diagnóstico mais difícil.
A informação irrelevante é a presença de tags de ambiente. Elas são plausíveis como causa porque representam metadados de recursos, e o analista explicitamente suspeita delas, mas a consulta não aplica nenhum filtro de tag e as tags não interferem na indexação do grafo.
A alternativa D é um distrator interessante porque introduz uma lógica de dependência entre sub-redes e VMs que não existe no funcionamento real do Security Explorer. Sub-redes são indexadas como nós independentes no grafo quando o escopo está ativo e a ingestão foi concluída.
Agir com base na alternativa A levaria o analista a investigar e remover tags de recursos de produção sem nenhum efeito, introduzindo risco operacional desnecessário.
Gabarito — Cenário 4
Resposta: B
A sequência correta é P, Q, S, R, T, que segue a lógica de diagnóstico progressivo do mais fundamental para o mais específico.
O primeiro passo é verificar se o plano Defender for Servers está habilitado (P), pois sem ele nenhuma VM aparece no grafo e todos os demais passos são inúteis. Em seguida, confirma-se se as VMs aparecem em uma consulta sem condições (Q), o que valida que o grafo as conhece. Depois, verifica-se se a condição de exposição isolada retorna resultados (S), para isolar se o problema está nessa condição específica. A seguir, verifica-se no painel de postura se as recomendações de alta severidade de fato existem para essas VMs (R), para confirmar que os dados existem antes de assumir que a consulta está errada. Por último, revisa-se a estrutura da consulta (T), pois só faz sentido investigar a sintaxe depois de confirmar que os dados e as condições individualmente estão corretos.
A alternativa A comete o erro clássico de investigar a sintaxe da consulta antes de verificar se os dados sequer existem no grafo. A alternativa C pula a verificação do plano e começa pela visibilidade geral, o que pode levar a um falso positivo se o plano estiver parcialmente configurado. A alternativa D entrecorta a verificação de dados com a revisão de sintaxe prematuramente.
Árvore de Troubleshooting: Identify network resources using Microsoft Defender for Cloud Security Explorer
Legenda de cores:
- Azul escuro: sintoma ou ponto de entrada do diagnóstico
- Azul: pergunta diagnóstica com resposta sim ou não
- Laranja: validação ou verificação intermediária antes de concluir
- Vermelho: causa identificada
- Verde: resolução ou diagnóstico concluído
Para usar esta árvore diante de um problema real, comece pelo nó raiz descrevendo o sintoma e siga as ramificações respondendo cada pergunta com base no que você observa no ambiente. Não avance para uma ramificação sem ter verificado a condição da pergunta atual. O objetivo é eliminar hipóteses progressivamente até chegar à causa identificada e, a partir dela, aplicar a ação recomendada com segurança.