SC-900

 Datacenters locais. Em um datacenter local, você tem a responsabilidade

de tudo, desde a segurança física até a criptografia de dados confidenciais.
 IaaS (Infraestrutura como Serviço). De todos os serviços de nuvem, a
IaaS requer o máximo de gerenciamento pelo cliente de nuvem. Com a
IaaS, você está usando a infraestrutura de computação do provedor de
nuvem. O cliente de nuvem não é responsável pelos componentes físicos,
como computadores e rede, ou pela segurança física do datacenter. No
entanto, o cliente de nuvem ainda é responsável pelos componentes de
software, como sistemas operacionais, controles de rede, aplicativos e
proteção de dados.
 PaaS (Plataforma como Serviço). O PaaS fornece um ambiente para
criação, teste e implantação de aplicativos de software. A meta da PaaS é
ajudar você a criar um aplicativo rapidamente sem a necessidade de
gerenciar a infraestrutura subjacente. Com o PaaS, o provedor de nuvem
gerencia o hardware e os sistemas operacionais, e o cliente é responsável
por aplicativos e dados.
 SaaS (Software como Serviço). O SaaS é hospedado e gerenciado pelo
provedor de nuvem para o cliente. Normalmente, ele é licenciado por
meio de uma assinatura mensal ou anual. O Microsoft 365, o Skype e o
Dynamics CRM Online são todos exemplos de softwares SaaS. O SaaS
requer a menor quantidade de gerenciamento pelo cliente de nuvem. O
provedor de nuvem é responsável por gerenciar tudo, exceto dados,
dispositivos, contas e identidades.

Para todos os tipos de implantação de nuvem você, o cliente de nuvem, possui

seus dados e suas identidades. Você é responsável por proteger a segurança de
seus dados e identidades e recursos locais.

Em resumo, as responsabilidades sempre retidas pela organização do cliente

incluem:

 Informações e dados
 Dispositivos (móveis e PCs)
 Contas e identidades

O benefício do modelo de responsabilidade compartilhada é que as

responsabilidades das organizações são claras, assim como as do provedor de
nuvem.
Descrever a defesa em profundidade
A defesa em profundidade usa uma abordagem em camadas de segurança, em vez de
depender de um único perímetro.

Uma estratégia de defesa em profundidade usa uma série de mecanismos para

reduzir o avanço de um ataque. Cada camada fornece proteção para que, se
uma camada for violada, uma camada subsequente impedirá que um invasor
receba acesso não autorizado aos dados.

Camadas de exemplo de segurança podem incluir:

 Segurança física, como limitar o acesso a um datacenter para apenas o

pessoal autorizado.
 Controles de segurança de identidade e acesso, como autenticação
multifator ou acesso baseado em condição para controlar o acesso à
infraestrutura e controle de alterações.
 A segurança de perímetro de sua rede corporativa inclui a proteção
contra DDoS (ataque de negação de serviço distribuído) para filtrar
ataques em grande escala antes que eles possam causar uma negação de
serviço para os usuários.
 Segurança de rede, como segmentação de rede e controles de acesso à
rede, para limitar a comunicação entre os recursos.
 A segurança da camada Computação, como a proteção do acesso a
máquinas virtuais, local ou na nuvem, fechando determinadas portas.
 A segurança da camada Aplicativo garante que os aplicativos estejam
seguros e livres de vulnerabilidades de segurança.
 A segurança da camada Dados, incluindo controles para gerenciar o
acesso aos dados de negócios e clientes e à criptografia para proteger os
dados.

Confidencialidade, Integridade, Disponibilidade (CIA)

Como descrito acima, uma estratégia de defesa em profundidade usa uma série
de mecanismos para reduzir o avanço de um ataque. Todos os diferentes
mecanismos (tecnologias, processos e treinamento) são elementos de uma
estratégia de segurança cibernética, cujos objetivos incluem garantir a
confidencialidade, integridade e disponibilidade; muitas vezes referidas como
CIA (confidentiality, integrity e availability).
Explorar o modelo de Confiança Zero

Modelo de confiança zero tem três princípios que orientam e sustentam como a
segurança deve ser implementada. São eles: verificação explícita, acesso com
privilégio mínimo e pressuposição de violação.

 Verificação explícita. Sempre autentique e autorize com base nos pontos

de dados disponíveis, incluindo a identidade do usuário, o local, o
dispositivo, o serviço ou a carga de trabalho, a classificação de dados e as
anomalias.
 Acesso com privilégio mínimo. Limite o acesso do usuário com acesso
just-in-time e just-enough (JIT/JEA), políticas adaptáveis baseadas em risco
e proteção de dados para proteger os dados e a produtividade.
 Pressuposição de violação. Segmento de acesso por rede, usuário,
dispositivos e aplicativo. Use a criptografia para proteger dados e use a
análise para obter visibilidade, detectar ameaças e melhorar sua
segurança.
Esses seis elementos são os pilares fundamentais do modelo de confiança
zero:

 As identidades podem ser usuários, serviços ou dispositivos. Quando uma

identidade tenta acessar um recurso, ela deve ser verificada com
autenticação forte e seguir os princípios de acesso com privilégios
mínimos.
 Os dispositivos criam uma grande superfície de ataque como fluxos de
dados de dispositivos para cargas de trabalho locais e para a nuvem. O
monitoramento de dispositivos para integridade e conformidade é um
aspecto importante da segurança.
 Os aplicativos são a maneira como os dados são consumidos. Isso inclui a
descoberta de todos os aplicativos que estão sendo usados, o que às
vezes é chamado de TI sombra, pois nem todos os aplicativos são
gerenciados centralmente. Esse pilar também inclui o gerenciamento de
permissões e o acesso.
 Os dados devem ser classificados, rotulados e criptografados com base
em seus atributos. Os esforços de segurança são basicamente sobre a
proteção de dados, garantindo que eles permaneçam seguros quando
saem de dispositivos, aplicativos, infraestrutura e redes que a organização
controla.
 A infraestrutura, seja local ou baseada na nuvem, representa um vetor de
ameaça. Para melhorar a segurança, você avalia a versão, a configuração e
o acesso JIT e usa a telemetria para detectar ataques e anomalias. Isso
permite que você bloqueie ou sinalize automaticamente comportamentos
arriscados e tome ações de proteção.
 As redes devem ser segmentadas, incluindo a micro segmentação na rede
mais profunda. Além disso, a proteção contra ameaças em tempo real,
criptografia de ponta a ponta, monitoramento e análise devem ser
empregadas.
Descrever criptografia e hash

Há dois tipos de criptografia de nível superior: simétrica e assimétrica. A

criptografia simétrica usa a mesma chave para criptografar e descriptografar os
dados. A criptografia assimétrica usa um par de chaves públicas e de chaves
privadas. Qualquer chave pode criptografar dados, mas uma única chave não
pode ser usada para descriptografar dados criptografados. Para descriptografar,
você precisa de uma chave emparelhada. A criptografia assimétrica é usada para
acessar sites na Internet usando o protocolo HTTPS e soluções de assinatura
eletrônica de dados. A criptografia pode proteger dados inativos ou em trânsito.
Criptografia para dados em repouso
Dados inativos são dados armazenados em um dispositivo físico, como um
servidor. Ele pode ser armazenado em um banco de dados ou em uma conta de
armazenamento, mas, independentemente de onde ele estiver armazenado, a
criptografia de dados inativos garante que os dados não possam ser lidos sem
as chaves e os segredos necessários para descriptografá-los.

Se um invasor obtiver um disco rígido com os dados criptografados e não tiver

acesso às chaves de criptografia, ele terá grande dificuldade para ler os dados.

Criptografia TLS para dados em

trânsito
Dados em trânsito são os dados que se movem de um local para outro, como
pela Internet ou por meio de uma rede privada. A transferência segura pode ser
feita por várias camadas diferentes. Isso pode ser feito criptografando os dados
na camada de aplicativo antes de enviá-los por uma rede. HTTPS é um exemplo
de criptografia em trânsito.
A criptografia dos dados em trânsito protege-os de observadores externos e
fornece um mecanismo para transmitir os dados, limitando o risco de exposição.

Criptografia para dados em uso

Um caso de uso comum para a criptografia de dados em uso envolve a
proteção de dados em armazenamento não persistente, como memória RAM
ou caches de CPU. Isso pode ser alcançado por meio de tecnologias que criam
um enclave (pense nisso como um cofre seguro) que protege os dados e
mantém os dados criptografados enquanto a CPU processa os dados.

Hash

O hash usa um algoritmo para converter texto em um valor exclusivo de

comprimento fixo chamado hash. Toda vez que o mesmo texto tem hash
usando o mesmo algoritmo, o mesmo valor de hash é produzido. Esse hash
pode ser usado como um identificador exclusivo de seus dados associados.

O hash é diferente da criptografia, pois não usa chaves, e o valor de hash não é
subsequentemente descriptografado de volta para o original.

O hash é usado para armazenar senhas. Quando um usuário insere sua senha, o
mesmo algoritmo que criou o hash armazenado cria um hash da senha digitada.
Isso é comparado com a versão de hash armazenada da senha. Se as senhas
corresponderem, o usuário terá digitado sua senha corretamente. Isso é mais
seguro do que armazenar senhas de texto sem formatação, mas os algoritmos
de hash também são conhecidos por hackers. Como as funções de hash são
determinísticas (a mesma entrada produz a mesma saída), os hackers podem
usar ataques de dicionário de força bruta por meio do hash de senhas. Para
cada hash correspondente, eles sabem a senha real. Para atenuar esse risco, as
senhas geralmente têm “sal”. Isso se refere à adição de um valor aleatório de
comprimento fixo à entrada de funções de hash para criar hashes exclusivos
para a mesma entrada.
Descrever conceitos de conformidade
gências governamentais e grupos do setor emitiram regulamentos para ajudar a
proteger e controlar o uso de dados. De informações pessoais e financeiras à
proteção e privacidade de dados, as organizações podem ser responsáveis por
atender dezenas de regulamentações para estarem em conformidade. Listados
abaixo estão alguns conceitos e termos importantes relacionados à
conformidade de dados.

 Residência de dados – Quando se trata de conformidade, os

regulamentos de residência de dados regem os locais físicos onde os
dados podem ser armazenados e como e quando podem ser transferidos,
processados ou acessados internacionalmente. Esses regulamentos podem
diferir significativamente dependendo da jurisdição.
 Soberania de dados – Outra consideração importante é a soberania de
dados, o conceito de que os dados, particularmente dados pessoais, estão
sujeitos às leis e regulamentos do país/região em que são coletados
fisicamente, mantidos ou processados. Isso pode adicionar uma camada
de complexidade quando se trata de conformidade, pois o mesmo dado
pode ser coletado em um local, armazenado em outro e processado em
outro; tornando-o sujeito a leis de diferentes países/regiões.
 Privacidade de dados – Fornecer aviso e ser transparente sobre a coleta,
o processamento, o uso e o compartilhamento de dados pessoais são
princípios fundamentais das leis e regulamentos de privacidade. Dados
pessoais significa qualquer informação relacionada a uma pessoa física
identificada ou identificável. As leis de privacidade anteriormente faziam
referência a "PII" ou "informações de identificação pessoal", mas as leis
expandiram a definição para quaisquer dados que estejam diretamente
vinculados ou indiretamente vinculados a uma pessoa. As organizações
estão sujeitas e devem operar de acordo com uma infinidade de leis,
regulamentos, códigos de conduta, padrões específicos do setor e padrões
de conformidade que regem a privacidade de dados.

Na maioria dos casos, as leis e os regulamentos não definem nem prescrevem

tecnologias específicas que as organizações devem usar para proteger os
dados. Eles deixam que a organização identifique tecnologias compatíveis,
operações e outras medidas apropriadas de proteção de dados.
Definir autenticação e autorização
Autenticação

A autenticação é o processo de provar que uma pessoa é quem ela diz ser.
Quando alguém adquire um item com um cartão de crédito, pode ser
necessário mostrar uma forma adicional de identificação. Isso prova que ela é a
pessoa cujo nome aparece no cartão. Neste exemplo, o usuário pode apresentar
uma carteira de habilitação que serve como uma forma de autenticação e
comprova a ID.

Quando você quiser acessar um computador ou dispositivo, encontrará um tipo

de autenticação semelhante. Você pode receber uma solicitação para inserir um
nome de usuário e uma senha. O nome de usuário declara quem você é, mas,
por si só, não é suficiente para permitir acesso. Quando combinado com a
senha, que somente esse usuário deve saber, ele permite o acesso aos seus
sistemas. O nome de usuário e a senha são, juntos, uma forma de autenticação.
Às vezes, a autenticação é abreviada para AuthN.

Autorização

Ao autenticar um usuário, você precisará decidir onde ele pode ir e o que ele
tem permissão para ver e tocar. Esse processo é chamado de autorização.

Suponha que você queira passar a noite em um hotel. A primeira coisa que você
fará é ir para a recepção para iniciar o "processo de autenticação". Depois que o
recepcionista verificar quem você é, você recebe um cartão de chave e poderá ir
para seu quarto. Pense no cartão de chave como o processo de autorização. O
cartão de chaves só permitirá que você abra as portas e elevadores que você
tem permissão para acessar, como para seu quarto de hotel.

Em termos de segurança cibernética, a autorização determina o nível de acesso

ou as permissões que uma pessoa autenticada tem aos seus dados e recursos.
Às vezes, a autorização é abreviada para AuthZ.

Uma identidade pode ser associada a um usuário, um aplicativo, um dispositivo

ou outra coisa.
Quatro pilares de uma infraestrutura de identidade

A identidade é um conceito que abrange um ambiente inteiro, portanto, as

organizações precisam pensar em larga escala. Há uma coleção de processos,
tecnologias e políticas para gerenciar identidades digitais e controlar como são
usadas para acessar os recursos. Eles podem ser organizados em quatro pilares
fundamentais que as organizações devem considerar ao criar uma infraestrutura
de identidade.

 Administração. A administração trata da criação e do

gerenciamento/governança de identidades para usuários, dispositivos e serviços.
Como administrador, você gerencia como e em que circunstâncias as
características das identidades podem ser alteradas (criadas, atualizadas,
excluídas).
 Autenticação. O pilar de autenticação conta a história do que um sistema de TI
precisa saber sobre uma identidade para ter certeza de que realmente é quem diz
ser? Envolve o ato de contestar as credenciais legítimas de uma parte.
 Autorização. O pilar de autorização trata do processamento dos dados de
identidade de entrada para determinar o nível de acesso que uma pessoa ou um
serviço autenticado tem no aplicativo ou serviço que deseja acessar.
 Auditoria. O pilar de auditoria trata do acompanhamento de quem faz o que,
quando, onde e como. A auditoria inclui ter relatórios detalhados, alertas e
governança de identidades.

Descrever a função do provedor de

identidade
Autenticação moderna é um termo abrangente para os métodos de
autenticação e autorização entre um cliente, como laptop ou telefone, e um
servidor, como um site ou aplicativo. A função de provedor de identidade é o
principal recurso da autenticação moderna. Um provedor de identidade cria,
mantém e gerencia as informações de identidade e, ao mesmo tempo, fornece
serviços de autenticação, autorização e auditoria.

Com a autenticação moderna, todos os serviços, incluindo todos os serviços de

autenticação, são fornecidos por um provedor de identidade central. As
informações usadas para autenticar o usuário com o servidor são armazenadas
e gerenciadas de forma centralizada pelo provedor de identidade.

Com um provedor de identidade central, as organizações podem estabelecer

políticas de autenticação e autorização, monitorar o comportamento do usuário,
identificar atividades suspeitas e reduzir ataques mal-intencionados.
Descrever o conceito de serviços de
diretório e Active Directory
AD (Active Directory) é um conjunto de serviços de diretório desenvolvido pela
Microsoft como parte do Windows 2000 para redes locais baseadas em
domínio. O serviço mais conhecido desse tipo é o AD DS (Active Directory
Domain Services). Ele armazena informações sobre os membros do domínio,
incluindo dispositivos e usuários, verifica as credenciais e define os direitos de
acesso. Um servidor que executa o AD DS é chamado de DC (controlador de
domínio).

O AD DS é um componente essencial nas organizações com infraestrutura de TI

local. O AD DS permite às organizações gerenciar vários sistemas e
componentes de infraestrutura local usando uma única identidade por usuário.
No entanto, o AD DS não oferece suporte nativo a dispositivos móveis,
aplicativos de SaaS ou aplicativos de linha de negócios que exigem métodos
de autenticação moderna.

O aumento dos serviços de nuvem, aplicativos de SaaS e dispositivos pessoais

usados no trabalho resultou na necessidade de autenticação moderna e na
evolução das soluções de identidade baseadas no Active Directory.

O Azure Active Directory é a próxima evolução das soluções de gerenciamento

de identidade e acesso. Ele fornece às organizações uma solução de IDaaS
(identidade como serviço) para todos os aplicativos na nuvem e no local. Neste
curso, vamos nos concentrar no Azure AD, o provedor de identidade baseado
em nuvem da Microsoft.

Para saber mais sobre as diferenças entre os conceitos do Active Directory e

Azure Active Directory, veja a seção Saiba mais da unidade Resumo e recursos
que se vincula à documentação.

Uma maneira simplificada de pensar sobre esse cenário de federação é a

seguinte:

 O site, no domínio A, usa os serviços de autenticação do IdP-A (provedor

de identidade A).
 O usuário, no domínio B, faz a autenticação com o IdP-B (provedor de
identidade B).
 O IdP-A tem uma relação de confiança configurada com o IdP-B.
  Quando o usuário, que deseja acessar o site, fornece as credenciais para o
site, o site confia no usuário e permite o acesso. Esse acesso é permitido
devido à confiança já estabelecida entre os dois provedores de identidade.

Com a federação, a confiança nem sempre é bidirecional. Embora o IdP-A possa

confiar no IdP-B e permitir que o usuário no domínio B acesse o site no domínio
A, o oposto não é verdadeiro, a menos que a relação de confiança esteja
configurada.

Um exemplo comum de federação na prática é quando um usuário faz logon

em um site de terceiros com uma conta de mídia social, como o Twitter. Nesse
cenário, o Twitter é um provedor de identidade e o site de terceiros pode estar
usando um provedor de identidade diferente, como o Azure AD. Existe uma
relação de confiança entre o Azure AD e o Twitter.

Azure Active Directory

O Azure AD (Azure Active Directory) é o serviço de gerenciamento de acesso e
identidade baseado em nuvem da Microsoft. As organizações usam o Azure AD
para permitir que os funcionários, convidados e outras pessoas façam logon e
acessem os recursos necessários, incluindo:

 Recursos internos, como aplicativos em sua rede corporativa e intranet,

bem como aplicativos de nuvem desenvolvidos por sua organização.
 Serviços externos, como o Microsoft Office 365, o portal do Azure e os
aplicativos de SaaS usados pela organização.

O Azure AD simplifica a maneira como as organizações gerenciam a autorização

e o acesso, fornecendo um único sistema de identidade para os aplicativos no
local e na nuvem. O Azure AD pode ser sincronizado com o Active Directory
local existente, sincronizado com outros serviços de diretório ou usado como
serviço autônomo.

O Azure AD também permite que as organizações habilitem com segurança o

uso de dispositivos pessoais, como celulares e tablets, e habilitem a colaboração
com parceiros de negócios e clientes.

O Azure AD está disponível em quatro edições: Gratuito, Aplicativos do Office 365,

Premium P1 e Premium P2.

Azure Active Directory Gratuito. A versão gratuita permite que você

administre usuários e crie grupos, sincronize com o Active Directory local, crie
relatórios básicos, configure a alteração de senha self-service para usuários na
nuvem e habilite o logon único no Azure, no Microsoft 365 e em muitos
aplicativos de SaaS populares. A edição gratuita está incluída nas assinaturas do
Office 365, Azure, Dynamics 365, Intune e Power Platform.

Aplicativos do Office 365. A edição de Aplicativos do Office 365 permite que

você faça tudo o que está incluído na versão gratuita, além da redefinição de
senha self-service para usuários na nuvem e write-back de dispositivo, o que
oferece sincronização bidirecional entre os diretórios locais e o Azure AD. A
edição de Aplicativos do Office 365 do Azure Active Directory está incluída nas
assinaturas do Office 365 E1, E3, E5, F1 e F3.

Azure Active Directory Premium P1. A edição Premium P1 inclui todos os

recursos da edição gratuita e de Aplicativos do Office 365. Ele também dá
suporte à administração avançada, como grupos dinâmicos, gerenciamento de
grupo de autoatendimento, Microsoft Identity Manager (um conjunto de
gerenciamento de acesso e identidade local) e recursos de write-back de
nuvem, que permitem a redefinição de senha por autoatendimento para os
usuários locais.

Azure Active Directory Premium P2. O P2 oferece todos os recursos do

Premium P1 e o Azure Active Directory Identity Protection para fornecer acesso
condicional baseado em risco aos aplicativos e dados críticos da empresa. O P2
também oferece o Azure Active Directory Privileged Identity Management para
descobrir, restringir e monitorar os administradores e o acesso aos recursos,
bem como fornecer acesso just-in-time, quando necessário.

Para obter informações adicionais sobre cada uma das edições, visite a
página Preço do Azure Active Directory.

Também existe uma opção para licenças de recurso de “Pagamento

conforme o uso”. Você pode obter licenças de outros recursos separadamente,
como o Azure Active Directory B2C. O B2C pode ajudar você a fornecer soluções
de gerenciamento de acesso e identidade para seus aplicativos voltados ao
cliente. Para saber mais, confira a Documentação sobre o Azure Active Directory
B2C.

Tipos de identidade do Azure AD

O Azure AD gerencia diferentes tipos de identidades: usuários, entidades de serviço,
identidades gerenciadas e dispositivos. Nesta unidade, consideramos cada tipo de
identidade do Azure AD.
Entidade de serviço

Uma entidade de serviço é, essencialmente, uma identidade para um aplicativo.

Para que um aplicativo delegue as funções de identidade e acesso ao Azure AD,
o aplicativo deve primeiro ser registrado no Azure AD para habilitar sua
integração. Depois de registrada, uma entidade de serviço é criada em cada
locatário do Azure AD em que o aplicativo é usado. A entidade de serviço
habilita recursos principais, como autenticação e autorização do aplicativo, para
recursos protegidos pelo locatário do Azure AD.

Para que as entidades de serviço possam acessar recursos protegidos pelo

locatário do Azure AD, os desenvolvedores de aplicativos devem gerenciar e
proteger as credenciais.

Identidade gerenciada

As identidades gerenciadas são um tipo de entidade de serviço gerenciada

automaticamente no Azure AD que eliminam a necessidade de os
desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem
uma identidade para os aplicativos usarem ao se conectar a recursos do Azure
que dão suporte à autenticação do Azure AD e podem ser usadas sem nenhum
custo extra.

Há dois tipos de identidades gerenciadas: atribuída pelo sistema e atribuída

pelo usuário.

Atribuída pelo sistema. Alguns serviços do Azure permitem que você habilite
uma identidade gerenciada diretamente em uma instância de serviço. Quando
você habilita uma identidade gerenciada atribuída pelo sistema, uma identidade
é criada no Azure AD que está vinculada ao ciclo de vida dessa instância de
serviço. Quando o recurso é excluído, o Azure exclui automaticamente a
identidade para você. Por design, somente o recurso do Azure pode usar essa
identidade para solicitar tokens do Azure AD.

Atribuída pelo usuário. Você também pode criar uma identidade gerenciada
como um recurso autônomo do Azure. Depois de criar uma identidade
gerenciada atribuída pelo usuário, é possível atribuí-la a uma ou mais instâncias
de um serviço do Azure. Com as identidades gerenciadas atribuídas pelo
usuário, a identidade é gerenciada separadamente dos recursos que a usam.
Dispositivo

O dispositivo é uma parte do hardware, como dispositivos móveis, notebooks,

servidores ou impressoras. Uma identidade do dispositivo fornece aos
administradores informações que eles podem usar ao tomar decisões de acesso
ou configuração. As identidades de dispositivo podem ser configuradas de
diferentes modos no Azure AD.

 Dispositivos registrados no Azure AD. A meta dos dispositivos registrados do

Azure AD é fornecer aos usuários suporte para cenários BYOD (Traga seu próprio
dispositivo) ou de dispositivo móvel. Nesses cenários, o usuário pode acessar os
recursos da organização usando um dispositivo pessoal. Os dispositivos
registrados no Azure AD se registram no Azure AD sem exigir que uma conta
organizacional entre no dispositivo. Os sistemas operacionais com suporte para
dispositivos registrados no Azure AD incluem Windows 10 e superior, iOS,
Android e macOS.
 Ingressado no Azure AD. Um dispositivo é ingressado no Azure AD por meio de
uma conta organizacional, que é usada para entrar no dispositivo. Os dispositivos
ingressados no Azure AD geralmente pertencem à organização. Os sistemas
operacionais com suporte para dispositivos ingressados no Azure AD incluem
Windows 10 ou superior (exceto edição Home) e Windows Server 2019 Máquinas
Virtuais em execução no Azure.
 Dispositivos ingressados no Azure AD híbrido. As organizações com
implementações do Active Directory local podem se beneficiar da funcionalidade
oferecida pelo Azure AD implementando dispositivos ingressados no Azure AD
híbrido. Esses dispositivos são ingressados no Active Directory local e no Azure
AD, exigindo que a conta organizacional entre no dispositivo

Registrar e ingressar dispositivos no Azure AD oferece aos usuários o SSO

(Logon Único) para recursos baseados em nuvem. Além disso, os dispositivos
ingressados no Azure AD se beneficiam da experiência de SSO para recursos e
aplicativos que dependem do Active Directory local.

Os administradores de TI podem usar ferramentas como Microsoft Intune, um

serviço baseado em nuvem que se concentra no MDM (gerenciamento de
dispositivo móvel) e no MAM (gerenciamento de aplicativos móveis), para
controlar como os dispositivos de uma organização são usados. Veja Microsoft
Intune para obter mais informações.

Há duas Identidades Externas do Azure AD diferentes: B2B e B2C.

 A colaboração B2B permite que você compartilhe os aplicativos e recursos

com usuários externos.
 B2C é uma solução de gerenciamento de identidade para aplicativos
voltados para o consumidor e para o cliente.
Colaboração B2B

A colaboração B2B permite que você compartilhe os aplicativos e serviços da

sua organização com usuários convidados de outras organizações, mantendo o
controle sobre seus próprios dados. A colaboração B2B usa um processo de
convite e resgate. Você também pode habilitar fluxos dos usuários de inscrição
por autoatendimento para permitir que os usuários externos se inscrevam em
aplicativos ou recursos. Depois que o usuário externo resgatar o convite ou
concluir a inscrição, ele será representado no mesmo diretório que os
funcionários, mas com um usuário do tipo convidado. Como convidado, ele
agora pode acessar os recursos com suas credenciais.

Os usuários convidados podem ser gerenciados da mesma forma que os

funcionários, ser adicionados aos mesmos grupos e assim por diante. Com o
B2B, há suporte para SSO (logon único) em todos os aplicativos conectados ao
Azure AD.

Gerenciamento de acesso B2C

O Azure AD B2C é uma solução de CIAM (gerenciamento de acesso de

identidade do cliente). O Azure AD B2C permite que usuários externos entrem
com suas identidades preferenciais de conta social, corporativa ou local para
obter o logon único para os aplicativos. O Azure AD B2C dá suporte a milhões
de usuários e bilhões de autenticações por dia. Ele cuida do dimensionamento e
da segurança da plataforma de autenticação, do monitoramento e do
tratamento automático de ameaças, como negação de serviço, irrigação de
senha ou ataques de força bruta.

Com o Azure AD B2C, os usuários externos são gerenciados no diretório Azure

AD B2C, separadamente do diretório de funcionários e parceiros da
organização. Também há suporte para SSO para os aplicativos de clientes nos
locatário do Azure AD B2C.

O Azure AD B2C é uma solução de autenticação que você pode personalizar

com a sua marca para que seja combinada com os seus aplicativos Web e
móveis.

As Identidades Externas do Azure AD são um recurso das edições Premium P1 e P2 do

Azure AD e os preços se baseiam em usuários ativos mensais. Para obter mais
informações, confira Preço do Azure AD.
 Métodos de autenticação disponíveis
no Azure AD

Senhas

As senhas são a forma mais comum de autenticação, mas elas têm muitos
problemas, especialmente se usadas na autenticação de fator único, em que
apenas uma forma de autenticação é usada. Se forem simples de lembrar, serão
fáceis de serem comprometidas por um hacker. As senhas fortes que não
apresentam facilidade de violação são difíceis de serem lembradas e afetam a
produtividade do usuário quando esquecidas.

O uso de senhas deve ser complementado ou substituído por métodos de

autenticação mais seguros disponíveis no Azure AD.

Telefone

O Azure AD é compatível com duas opções de autenticação baseada em

telefone.

 Autenticação baseada em SMS. O SMS (serviço de mensagem curta)

usado em mensagens de texto de dispositivo móvel pode ser usado como
uma forma primária de autenticação. Com a entrada baseada em SMS, os
usuários não precisam saber um nome de usuário e uma senha para
acessar aplicativos e serviços. Em vez disso, o usuário insere seu número
de telefone celular registrado, recebe uma mensagem de texto com um
código de verificação e insere isso na interface de entrada.

Os usuários também podem optar por verificar a identidade por meio de

mensagens SMS em um telefone celular como uma forma secundária de
autenticação durante a SSPR (redefinição de senha por autoatendimento)
ou a Autenticação Multifator do Azure AD. Por exemplo, os usuários
podem complementar a senha usando mensagens SMS. Um SMS é
enviado para o número do celular que contém um código de verificação.
Para concluir o processo de entrada, o código de verificação fornecido é
inserido na interface de entrada.

 Verificação por chamada de voz. Os usuários podem usar chamadas de

voz como uma forma secundária de autenticação para verificar a
 identidade durante a SSPR (redefinição de senha por autoatendimento) ou
a Autenticação Multifator do Azure AD. Com a verificação por chamada
telefônica, uma chamada de voz automatizada é feita para o número de
telefone registrado pelo usuário. Para concluir o processo de entrada, o
usuário será solicitado a pressionar # no teclado. Não há suporte para
chamadas de voz como forma primária de autenticação no Azure AD.

OATH

OATH (autenticação aberta) é um padrão aberto que especifica como os

códigos de TOTP (Senhas Avulsas por Tempo Limitado) são gerados. Os códigos
de senhas avulsas podem ser usados para autenticar um usuário. As TOTP da
OATH podem ser implementadas usando software ou hardware para gerar os
códigos.

 Tokens OATH de software normalmente são aplicativos. O Azure AD gera

a chave secreta ou semente, que é inserida no aplicativo e usada para
gerar cada OTP.

 Tokens de hardware OATH TOTP (com suporte na visualização pública)

são pequenos dispositivos de hardware que se parecem com um chaveiro
que exibe um código que é atualizado a cada 30 ou 60 segundos. Os
tokens de hardware OATH TOTP normalmente vêm com uma chave
secreta ou semente previamente programada no token. Essas chaves e
outras informações específicas de cada token devem ser inseridas no
Azure AD e ativadas para uso pelos usuários finais.

Tokens de software e hardware OATH têm suporte apenas como formas

secundárias de autenticação no Azure AD, para verificar uma identidade durante
a SSPR (redefinição de senha por autoatendimento) ou a Autenticação
Multifator do Azure AD.

Autenticação sem senha

A meta final de muitas organizações é remover o uso de senhas como parte dos
eventos de conexão. Quando um usuário se conecta com um método sem
senha, as credenciais são fornecidas pelo uso de métodos como biometria com
o Windows Hello para Empresas ou uma chave de segurança FIDO2. Esses
métodos de autenticação não podem ser duplicados com facilidade por um
invasor.
O Azure AD fornece maneiras de se autenticar nativamente usando métodos
sem senha, a fim de simplificar a experiência de conexão para os usuários e
reduzir o risco de ataques.

O vídeo a seguir explica o problema com senhas e por que a autenticação sem
senha é tão importante.

Windows Hello for Business

O Windows Hello para Empresas substitui senhas com autenticação forte de

dois fatores nos dispositivos. Essa autenticação de dois fatores é uma
combinação de uma chave ou de um certificado vinculado a um dispositivo e de
algo que a pessoa saiba (um PIN) ou é (biometria). A entrada do PIN e o gesto
biométrico disparam o uso da chave privada para assinar criptograficamente os
dados que são enviados ao provedor de identidade. O provedor de identidade
verifica a identidade do usuário e autentica o usuário.

O Windows Hello para Empresas ajuda a proteger contra o roubo de

credenciais, pois um invasor deve ter o dispositivo e as informações biométricas
ou o PIN, tornando mais difícil obter acesso sem o conhecimento do
funcionário.

Como um método de autenticação sem senha, o Windows Hello para Empresas

serve como uma forma primária de autenticação. Além disso, o Windows Hello
para Empresas pode ser usado como uma forma secundária de autenticação
para verificar uma identidade durante a autenticação multifator.

FIDO2

A FIDO (Fast Identity Online) é um padrão aberto para autenticação sem senha.
O FIDO permite que usuários e organizações aproveitem o padrão para entrar
nos recursos usando uma chave de segurança externa ou uma chave de
plataforma incorporada a um dispositivo, eliminando a necessidade de um
nome de usuário e uma senha.

O FIDO2 é o padrão mais recente que incorpora o padrão de autenticação na

Web (WebAuthn) e é compatível com o Azure AD. As chaves de segurança
FIDO2 são um método de autenticação de senha baseado em padrões à prova
de phishing, que podem usar qualquer fator forma. Essas chaves de segurança
FIDO2 normalmente são dispositivos USB, mas também podem ser dispositivos
Bluetooth ou dispositivos baseados em NFC (comunicação a curta distância),
que são usados para transferência de dados sem fio de curto alcance. Com um
dispositivo de hardware que manipula a autenticação, a segurança de uma
conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.

Com as chaves de segurança FIDO2, os usuários podem entrar nos dispositivos

Windows 10 do Azure AD ou ingressados no Azure AD híbrido e obter logon
único em recursos locais e de nuvem. Os usuários também podem entrar em
navegadores compatíveis. As chaves de segurança FIDO2 são uma ótima opção
para empresas que são muito sensíveis à segurança ou que têm cenários ou
funcionários que não estão dispostos ou não podem usar telefones como um
segundo fator.

Como um método de autenticação sem senha, o FIDO2 serve como uma forma
primária de autenticação. Além disso, o FIDO2 pode ser usado como uma forma
secundária de autenticação para verificar uma identidade durante a
autenticação multifator.

Aplicativo Microsoft Authenticator

Como um método de autenticação sem senha, o aplicativo Microsoft

Authenticator pode ser usado como uma forma primária de autenticação para
entrar em qualquer conta do Azure AD ou como uma opção de verificação
adicional, durante eventos de SSPR (redefinição de senha por autoatendimento)
ou autenticação multifator do Azure AD.

Para usar o Microsoft Authenticator, um usuário precisa baixar o aplicativo de

telefone na Microsoft Store e registrar a sua conta. O Microsoft Authenticator
está disponível para Android e iOS.

Com a conexão sem senha, o aplicativo Authenticator transforma qualquer

telefone iOS ou Android em uma credencial forte e sem senha. Para entrar na
conta do Azure AD, um usuário insere o nome de usuário, verifica se o número
exibido na tela corresponde àquele que está em seu telefone e, em seguida, usa
a biometria ou o PIN para confirmar.

As formas de verificação adicional a seguir, descritas na unidade anterior,

podem ser usadas com a Autenticação Multifator do Azure AD:

 Aplicativo Microsoft Authenticator

 Windows Hello for Business
 Chave de segurança FIDO2
 Token de hardware OATH (versão prévia)
 Token de software OATH
 sms
 Chamada de voz
SSPR (redefinição de senha self-
service) no Azure AD
A SSPR (redefinição de senha self-service) é um recurso do Azure AD que
permite aos usuários alterar ou redefinir a senha deles, sem envolvimento do
administrador ou do suporte técnico.

Se a conta de um usuário estiver bloqueada ou se ele esquecer a senha, ele

poderá seguir os prompts para redefini-la e voltar ao trabalho. Essa capacidade
reduz as chamadas de suporte técnico e a perda de produtividade quando um
usuário não consegue entrar no dispositivo ou em um aplicativo.

A redefinição de senha por autoatendimento funciona nos seguintes cenários:

 Alteração de senha:: o usuário sabe a senha, mas deseja alterá-la para

uma nova.
 Redefinição de senha: o usuário não consegue entrar, por exemplo,
porque esqueceu a senha, e deseja redefini-la.
 Desbloqueio de conta: o usuário não consegue entrar porque a conta
está bloqueada.

Acesso Condicional no Azure AD

O acesso condicional é um recurso do Azure AD que fornece uma camada extra
de segurança antes de permitir que usuários autenticados acessem dados ou
outros ativos. O acesso condicional é implementado por meio de políticas que
são criadas e gerenciadas no Azure AD. Uma política de acesso condicional
analisa sinais, incluindo usuário, localização, dispositivo, aplicativo e risco, para
automatizar decisões de autorização de acesso a recursos (aplicativos e dados).

 identidade do Azure AD
 Controlar o ciclo de vida de identidade.
 Controlar o ciclo de vida de acesso.
 Proteger o acesso privilegiado para a administração.

Privileged Identity Management

O PIM (Privileged Identity Management) é um serviço no Azure AD (Azure
Active Directory) que permite gerenciar, controlar e monitorar o acesso a
importantes recursos na sua organização. Eles incluem os recursos do Azure AD,
do Azure e de outros Serviços Online da Microsoft, como o Microsoft 365 ou o
Microsoft Intune. O PIM reduz os riscos de permissões de acesso excessivas,
desnecessárias ou inutilizadas. Ele requer uma justificativa para entender por
que os usuários desejam permissões e impõe a autenticação multifator para
ativar qualquer função.

O PIM é:

 Just-in-time: fornece acesso privilegiado somente quando necessário, não

antes.
 Calendarizado: atribui datas de início e de término que indicam quando
um usuário pode acessar os recursos.
 Baseado em aprovação: exige aprovações específicas para ativar
privilégios.
 Visualizável: envia notificações quando funções com privilégios são
ativadas.
 Auditável: permite que um histórico de acesso completo seja baixado.

O Privileged Identity Management é um recurso do Azure AD Premium P2.

Azure Identity Protection

m a ferramenta Identity Protection, as organizações podem executar três tarefas
importantes:

 Automatizar a detecção e a correção de riscos baseados em identidade.

 Investigar os riscos usando os dados no portal.
 Exportar os dados de detecção de riscos a utilitários de terceiros para
análise adicional.

Gerenciamento da postura de
segurança na nuvem

O CSPM (gerenciamento de postura de segurança na nuvem) é uma classe

relativamente nova de ferramentas projetadas para melhorar o gerenciamento
de segurança da nuvem. Ele avalia seus sistemas e alerta automaticamente a
equipe de segurança em seu departamento de TI quando uma vulnerabilidade é
encontrada. O CSPM usa ferramentas e serviços em seu ambiente de nuvem
para monitorar e priorizar recursos e aprimoramentos de segurança.
O CSPM usa uma combinação de ferramentas e serviços:

 Controle de acesso baseado em confiança zero: considera o nível de

ameaça ativo durante as decisões de controle de acesso.
 Pontuação de risco em tempo real: para proporcionar visibilidade dos
principais riscos.
 TVM (Gerenciamento de Ameaças e Vulnerabilidades): estabelece uma
visão holística da superfície de ataque e do risco da organização e a
integra em operações e na tomada de decisões de engenharia.
 Descubra os riscos: para entender a exposição de dados da propriedade
intelectual corporativa, em serviços de nuvem aprovados e não aprovados.
 Política técnica: aplique proteções para auditar e impor os padrões e as
políticas da organização a sistemas técnicos.
 Sistemas e arquiteturas de modelagem de ameaças: usados com outros
aplicativos específicos.

O objetivo principal de uma equipe de segurança de nuvem trabalhar com o

gerenciamento de postura é reportar continuamente e aprimorar a postura de
segurança da organização, concentrando-se em interromper o ROI (retorno
sobre o investimento) potencial do invasor.

A função de CSPM em sua organização pode estar espalhada por várias equipes
ou pode haver uma equipe dedicada. O CSPM pode ser útil para muitas equipes
em sua organização:

 Equipe de inteligência contra ameaças

 Tecnologia da Informação
 Equipes de gerenciamento de risco e conformidade
 Líderes de negócios e SMEs
 Arquitetura e operações de segurança
 Equipe de auditoria

Use o CSPM para melhorar seu gerenciamento de segurança na nuvem

avaliando o ambiente e alertando automaticamente a equipe de segurança
quanto a vulnerabilidades.

Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem é uma ferramenta para gerenciamento de
postura de segurança e proteção contra ameaças. Ele fortalece a postura de
segurança dos seus recursos de nuvem, e, com seus planos integrados do
Microsoft Defender, o Defender para Nuvem protege as cargas de trabalho em
execução no Azure, em ambiente híbrido e em outras plataformas de nuvem.
O Microsoft Defender para Nuvem preenche três necessidades vitais à medida
que você gerencia a segurança de recursos e cargas de trabalho na nuvem e
localmente:

 Avaliação contínua – Conheça sua postura de segurança, identifique e

acompanhe as vulnerabilidades.
 Proteger – proteger todos os recursos e serviços conectados.
 Proteção – Detecte e resolva ameaças a recursos, cargas de trabalho e
serviços.

Os recursos do Microsoft Defender para Nuvem que atendem a esses requisitos

abrangem dois pilares amplos de segurança na nuvem: gerenciamento da
postura de segurança na nuvem e proteção de cargas de trabalho na nuvem.

GPSN (gerenciamento da postura de segurança na nuvem)

No Microsoft Defender para Nuvem, os recursos de gerenciamento de postura

fornecem:

 Visibilidade – para ajudá-lo a entender sua situação de segurança atual

 Diretrizes de proteção – para ajudá-lo a aprimorar sua segurança de maneira
eficiente e eficaz

Recomendações de visibilidade e proteção

O recurso central do Microsoft Defender para Nuvem que permite alcançar

essas metas é a classificação de segurança. O Microsoft Defender para Nuvem
avalia continuamente os recursos, as assinaturas e a organização em busca de
problemas de segurança. Em seguida, ele agrega todas as conclusões em uma
única pontuação para que você possa ver, rapidamente, sua situação de
segurança atual: quanto maior a pontuação, menor o nível de risco identificado.

O Microsoft Defender para Nuvem também fornece recomendações de

proteção com base em falhas e configurações de segurança incorretas
identificadas. As recomendações são agrupadas em controles de segurança.
Cada controle é um grupo lógico de recomendações de segurança relacionadas
e reflete as superfícies de ataque vulneráveis. Sua pontuação só melhora
quando você corrige todas as recomendações para um único recurso dentro de
um controle. Use essas recomendações de segurança para reforçar a postura de
segurança nos recursos do Azure, em ambientes híbridos e de várias nuvens de
sua organização.

O Microsoft Defender para Nuvem é oferecido em dois modos:

  Microsoft Defender para Nuvem (gratuito) – o Microsoft Defender para
Nuvem está habilitado gratuitamente em todas as assinaturas do Azure. O
uso desse modo gratuito fornece a pontuação de segurança e seus
recursos relacionados: uma política de segurança, uma avaliação de
segurança contínua e recomendações de segurança práticas para ajudar
você a proteger seus recursos do Azure.
 Microsoft Defender para Nuvem com os recursos de segurança
aprimorada – A habilitação da segurança aprimorada amplia as
funcionalidades do modo gratuito para cargas de trabalho em execução
no Azure, em nuvem híbrida e em outras plataformas de nuvem,
fornecendo gerenciamento de segurança e proteção contra ameaças
unificados para todas as cargas de trabalho. As proteções de carga de
trabalho na nuvem são fornecidas por meio de planos integrados do
Microsoft Defender, específicos dos tipos de recursos em suas assinaturas
e fornecem recursos de segurança aprimorados para suas cargas de
trabalho.

Recursos de segurança aprimorada

Os planos do Microsoft Defender específicos para os tipos de recursos nas

assinaturas fornecem recursos de segurança aprimorados para as cargas de
trabalho. A seguir estão alguns dos recursos de segurança aprimorados.

 Detecção e resposta de ponto de extremidade abrangente – o Microsoft

Defender para servidores inclui o Microsoft Defender para Ponto de
Extremidade para EDR (detecção e resposta de ponto de extremidade)
abrangentes.

 Verificação de vulnerabilidades de máquinas virtuais e registros de

contêiner e recursos SQL – implante facilmente um scanner em todas as
máquinas virtuais. Veja, investigue e corrija as conclusões diretamente no
Microsoft Defender para Nuvem.

 Segurança de várias nuvens – Conecte suas contas da Amazon Web

Services (AWS) e do Google Cloud Platform (GCP) para proteger recursos e
cargas de trabalho nessas plataformas com uma variedade de recursos de
segurança do Microsoft Defender para Nuvem.

 Segurança híbrida – Obtenha uma exibição unificada sobre a segurança

em todas as suas cargas de trabalho locais e na nuvem. Aplique políticas
de segurança e avalie continuamente a segurança de suas cargas de
trabalho de nuvem híbrida a fim de garantir a conformidade com padrões
 de segurança. Colete, pesquise e analise dados de segurança de várias
fontes, incluindo firewalls e outras soluções de parceiros.

 Alertas de proteção contra ameaças – Monitore redes, computadores e

serviços de nuvem em busca de ataques recebidos e atividades pós-
violação. Simplifique a investigação com ferramentas interativas e
inteligência contextual contra ameaças.

 Acompanhe a conformidade com uma variedade de padrões – O Microsoft

Defender para Nuvem avalia continuamente o ambiente de nuvem híbrida
para analisar os fatores de risco de acordo com os controles e as práticas
recomendadas no Azure Security Benchmark. Ao habilitar os recursos de
segurança aprimorados, você pode aplicar uma variedade de outros
padrões do setor, padrões regulatórios e parâmetros de comparação de
acordo com as necessidades da sua organização. Adicione padrões e
acompanhe a sua conformidade com eles no painel de conformidade
regulatória.

 Controles de acesso e aplicativo – Bloqueie malware e outros aplicativos

indesejados aplicando recomendações com machine learning para cargas
de trabalho específicas a fim de criar listas de permitidos e de bloqueados.
Reduza a superfície de ataque da rede com o acesso just-in-time
controlado às portas de gerenciamento nas VMs do Azure. Os controles de
acesso e aplicativo reduzem drasticamente a exposição a ataques de força
bruta e a outros ataques de rede.

Os benefícios adicionais incluem a proteção contra ameaças para os recursos

conectados com o ambiente do Azure e os recursos de segurança do contêiner,
entre outros. Alguns recursos podem estar associados a planos específicos do
Defender para cargas de trabalho específicas.

Azure Security Benchmark e as linhas

de base de segurança para o Azure
O Azure Security Benchmark

A Microsoft descobriu que usar parâmetros de comparação de segurança pode

ajudar as organizações a proteger rapidamente suas implantações de nuvem e
reduzir o risco para a organização.

O parâmetro de comparação de segurança do Azure (ASB) fornece

recomendações e melhores práticas prescritivas para ajudar a melhorar a
segurança de cargas de trabalho, dados e serviços no Azure. A melhor maneira
de entender o Azure Security Benchmark é visualizá-lo no Azure Security
Benchmark V3 do GitHub. Alerta de spoiler, é uma planilha do Excel. Algumas
das principais informações no ASB V3 são:

 ID do ASB – cada item de linha no ASB tem um identificador mapeado para uma
recomendação específica.
 Domínio de controle – os domínios de controle ASB incluem segurança de rede,
proteção de dados, gerenciamento de identidade, acesso privilegiado, resposta a
incidentes e segurança do ponto de extremidade, para citar apenas alguns. A
melhor forma de descrever o domínio de controle é como recurso ou atividade
de alto nível que não é específico de uma tecnologia ou implementação.
 Mapeamento para estruturas do setor – as recomendações incluídas no mapa do
ASB para estruturas do setor, como o CIS (Centro de Segurança da Internet), o
NIST (Instituto Nacional de Padrões e Tecnologia) e as estruturas PCI DSS
(Payment Card Industry Data Security Standards). Isso facilita a segurança e a
conformidade para aplicativos do cliente em execução nos serviços do Azure.
 Recomendação – para cada área de domínio de controle, pode haver muitas
recomendações distintas. Cada recomendação captura a funcionalidade
específica associada à área de domínio de controle e é um controle em si. Por
exemplo, o domínio de controle "Segurança de Rede" no ASB v3 tem 10
recomendações distintas identificadas como NS-1 a NS-10. Cada uma dessas
recomendações descreve um controle específico sob segurança de rede.
 Princípio de segurança – cada recomendação lista um "Princípio de Segurança"
que explica o "o quê" para o controle no nível neutro em termos de tecnologia
 Diretrizes do Azure – As Diretrizes do Azure são focadas em "como" elaborar com
base nos recursos técnicos relevantes e maneiras de implementar os controles no
Azure.

Outras informações no ASB incluem links para informações sobre

implementação, links para informações sobre stakeholders de segurança e
diretrizes sobre mapeamento para o Azure Policy. Elas não são mostradas na
imagem abaixo. A imagem a seguir é um trecho do AsB v3 (Azure Security
Benchmark) e é mostrada como um exemplo do tipo do conteúdo incluído no
ASB v3. A imagem não se destina a mostrar o texto completo para nenhum dos
itens de linha.

Linhas de base de segurança do Azure

As linhas de base de segurança do Azure aplicam diretrizes do Azure Security

Benchmark ao serviço específico para o qual ele é definido. Por exemplo, a linha
de base de segurança para Azure Active Directory aplica diretrizes do Azure
Security Benchmark versão 2.0 para o Azure Active Directory.
As linhas de base de segurança do Azure ajudam as organizações a reforçar a
segurança por meio de ferramentas, acompanhamento e recursos de segurança
aprimorados. Elas também proporcionam uma experiência consistente ao
proteger seu ambiente. O conteúdo na linha de base de segurança é agrupado
pelos domínios de controle definidos pelo Azure Security Benchmark aplicáveis
ao serviço.

Cada linha de base de segurança do Azure inclui as seguintes informações:

 ID do Azure: a ID de parâmetro de comparação de segurança do Azure que

corresponde à recomendação.
 Controle do Azure: o conteúdo é agrupado pela área de domínio de controle,
conforme listado no Azure Security Benchmark e aplicável ao serviço para o qual
a linha de base de segurança é definida.
 Recomendação de benchmark: isso mapeia para a recomendação para a ID ASB
associada (ou ID do Azure). Cada recomendação descreve um controle individual
em um domínio de controle.
 Diretrizes do cliente: a lógica para a recomendação e links para diretrizes sobre
como implementá-la.
 Responsabilidade: quem é responsável pela implementação do controle?
Possíveis cenários são responsabilidade do cliente, responsabilidade da Microsoft
ou responsabilidade compartilhada.
 Monitoramento do Microsoft Defender para Nuvem: o Microsoft Defender
para Nuvem monitora o controle?

Definir os conceitos de SIEM e SOAR

O que é o SIEM (gerenciamento de eventos e informações de segurança)?

Um sistema SIEM é uma ferramenta usada por uma organização para coletar
dados de todo o espaço, incluindo infraestrutura, software e recursos. O sistema
faz análise, procura correlações ou anomalias e gera alertas e incidentes.

O que é o SOAR (resposta automatizada de orquestração de segurança)?

Um sistema SOAR usa alertas de várias fontes, como um sistema SIEM. Depois,
o sistema SOAR dispara fluxos de trabalho e processos automatizados baseados
em ação para executar tarefas de segurança que atenuam o problema.

Para fornecer uma abordagem abrangente de segurança, uma organização

precisa usar uma solução que adote ou combine a funcionalidade SIEM e SOAR.

Este diagrama mostra a funcionalidade de ponta a ponta do Microsoft Sentinel.

  Colete dados na escala de nuvem de todos os usuários, dispositivos,
aplicativos e infraestrutura, tanto local como em várias nuvens.
 Detecte ameaças não descobertas antes e minimize falsos positivos
usando os inigualáveis recursos de análise e inteligência contra ameaças.
 Investigue ameaças com IA (inteligência artificial) e busque por atividades
suspeitas em escala, acessando décadas de trabalho sobre segurança
cibernética na Microsoft.
 Responda a incidentes de forma rápida com orquestração interna e
automação de tarefas comuns.

O Microsoft Sentinel ajuda a habilitar operações de segurança de ponta a

ponta, em um SOC (Centro de Operações de Segurança) moderno. Abaixo estão
listados alguns dos principais recursos do Microsoft Sentinel.

Entenda os custos do Sentinel

O Microsoft Sentinel fornece análise de segurança inteligente na empresa. Os
dados dessa análise são armazenados em um workspace do Azure Monitor Log
Analytics. A cobrança é com base no volume de dados ingeridos para análise no
Microsoft Sentinel e armazenados no workspace do Log Analytics do Azure
Monitor. Há duas maneiras de pagar pelo serviço do Microsoft Sentinel:
Reservas de Capacidade e Pagamento Conforme o Uso.

 Reservas de Capacidade: nesta modalidade, você paga um valor fixo com

base na camada selecionada, permitindo um custo total previsível do
Microsoft Sentinel.
 Pagamento Conforme o Uso: nesta modalidade, você paga por gigabyte
(GB) do volume de dados ingeridos para análise no Microsoft Sentinel e
armazenados no workspace do Log Analytics do Azure Monitor.

Para obter mais informações sobre preços e uma avaliação gratuita do

Microsoft Sentinel em um workspace do Log Analytics do Azure Monitor,
confira os preços do Microsoft Sentinel.

Grupos de segurança de rede

NSGs (grupos de segurança de rede) permitem permitir ou negar o tráfego de

rede de e para recursos do Azure que existem em sua rede virtual do Azure; por
exemplo, uma máquina virtual. Um NSG consiste em regras que definem como
o tráfego é filtrado. Você pode associar um, ou nenhum, grupo de segurança de
rede a cada sub-rede e adaptador de rede de uma rede virtual em uma
máquina virtual. Entretanto, o mesmo grupo de segurança de rede pode ser
associado a quantas interfaces de rede e de sub-rede você desejar.

As regras de segurança do NSG são avaliadas por prioridade usando cinco

pontos de informações: origem, porta de origem, destino, porta de destino e
protocolo para permitir ou negar o tráfego. Como diretriz, você não deve criar
duas regras de segurança com a mesma prioridade e direção.

Ataques de negação de serviço distribuídos

O objetivo de um ataque de DDoS (negação de serviço distribuído) é

sobrecarregar os recursos em seus aplicativos e servidores, tornando-os sem
resposta ou lentos para usuários autênticos. Um ataque de DDoS geralmente
visará qualquer ponto de extremidade voltado ao público que possa ser
acessado pela Internet.

Os três tipos mais frequentes de ataque de DDoS são:

 Ataques de volumétricos: são ataques baseados em volume que inundam a

rede com tráfego aparentemente legítimo, sobrecarregando a largura de banda
disponível. O tráfego legítimo não pode ser obtido. Esses tipos de ataques são
medidos em bits por segundo.
 Ataques de protocolo: os ataques de protocolo processam um destino
inacessível esgotando os recursos do servidor com solicitações de protocolo falso
que exploram os pontos fracos nos protocolos de camada 3 (rede) e camada 4
(transporte). Esses tipos de ataques são normalmente medidos em pacotes por
segundo.
 Ataques de camada de recursos (aplicativo): esses ataques são direcionados a
pacotes de aplicativo Web para interromper a transmissão de dados entre os
hosts.

O que é a Proteção contra DDoS do Azure?

O serviço de proteção contra DDoS do Azure foi projetado para ajudar a

proteger seus aplicativos e servidores ao analisar o tráfego de rede e descartar
qualquer coisa que pareça um ataque de DDoS.

A proteção contra DDoS do Azure vem em duas camadas:

 Básico: a camada de serviço básica é habilitada automaticamente para

cada propriedade no Azure, sem custo adicional, como parte da
plataforma do Azure. A mitigação em tempo real de ataques comuns no
nível de rede e o monitoramento de tráfego Always On fornecem os
mesmos tipos de proteção que os serviços online da Microsoft usam. A
 rede global do Azure é usada para distribuir e reduzir o tráfego de ataques
entre regiões.
 Standard: a camada de serviço Standard fornece funcionalidades de
mitigação adicionais ajustadas especificamente aos recursos da Rede
Virtual do Microsoft Azure. A Proteção contra DDoS Standard é simples de
ser habilitada e não exige nenhuma alteração no aplicativo. As políticas de
proteção são ajustadas por meio do monitoramento de tráfego dedicado
e de algoritmos de aprendizado de máquina. As políticas são aplicadas a
endereços IP públicos associados aos recursos implantados em redes
virtuais, como o Azure Load Balancer e o Gateway de Aplicativo.

Preços do DDoS do Azure

O serviço de proteção contra DDoS padrão tem um encargo mensal fixo que
inclui proteção para 100 recursos. A proteção para recursos adicionais é
cobrada mensalmente por recurso.

Para obter mais informações sobre preços, visite a página de preços da

proteção contra DDoS do Azure.

Use o DDoS do Azure para proteger seus dispositivos e aplicativos analisando o

tráfego em toda a rede e executando a ação apropriada no tráfego suspeito.

Firewall do Azure

Principais recursos do Firewall do Azure

O Firewall do Azure vem com muitos recursos, incluindo, entre outros:

 Zonas de disponibilidade e alta disponibilidade internas: a alta

disponibilidade é interna e, portanto, não há nada a ser configurado. O Firewall
do Azure pode ser configurado para abranger várias zonas de disponibilidade
para aumentar a disponibilidade.
 Filtragem de nível de aplicativo e de rede: use o endereço IP, a porta e o
protocolo para dar suporte à filtragem de nome de domínio totalmente
qualificado para o tráfego de HTTP(s) de saída e os controles de filtragem de
rede.
 DNAT de saída e SNAT de entrada para se comunicar com recursos da
Internet: traduz o endereço IP privado dos recursos de rede para um endereço IP
público do Azure (conversão de endereços de rede de origem) para identificar e
permitir o tráfego originado da rede virtual para destinos da Internet. Da mesma
 forma, o tráfego de Internet de entrada para o endereço IP público do firewall é
convertido (conversão de endereços de rede de destino) e filtrado para os
endereços IP privados de recursos na rede virtual.
 Vários endereços IP públicos: esses endereços podem ser associados ao firewall
do Azure.
 Inteligência contra ameaças: A filtragem contra ameaças baseada em
inteligência pode ser habilitada para o seu firewall de forma a alertar e rejeitar o
tráfego de/para endereços IP e domínios mal-intencionados.
 Integração com o Azure Monitor: integrado com o Azure Monitor para habilitar
a coleta, análise e a ação da telemetria de logs do Firewall do Azure.

O firewall do Azure é um serviço de segurança de rede gerenciado e baseado

em nuvem que protege seus recursos de Rede Virtual do Azure (VNet) contra
invasores. Você pode implantar o Firewall do Azure em qualquer rede virtual,
mas a melhor abordagem é usá-lo em uma rede virtual centralizada. Todas as
outras redes virtuais e locais serão roteadas por meio dela. A vantagem desse
modelo é a capacidade de exercer controle central do tráfego de rede para
todos os seus VNets em assinaturas diferentes.

Azure Bastion
O Azure Bastion fornece conectividade RDP/SSH segura e direta para suas
máquinas virtuais diretamente do portal do Azure usando o protocolo TLS
(Transport Layer Security). Ao se conectar por meio do Azure Bastion, suas
máquinas virtuais não precisarão de um endereço IP público, nem de um agente
e tampouco de um software cliente especial.

O Bastion fornece conectividade RDP e SSH segura a todas as VMs na rede

virtual, e redes virtuais emparelhadas, em que é provisionado. O uso do Azure
Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH
ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH.

A implantação do Azure Bastion é feita por rede virtual ou rede virtual com
suporte a emparelhamento de rede virtual, não por assinatura, conta ou
máquina virtual. Após você provisionar o serviço do Azure Bastion na sua rede
virtual, a experiência de RDP/SSH é disponibilizada para todas as suas VMs na
mesma VNet, assim como para as que estão em VNets emparelhadas.

Principais recursos do Azure Bastion

Os seguintes recursos estão disponíveis:

  RDP e SSH diretamente no portal do Azure: você pode obter acesso direto à
sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único
clique.
 Sessão remota sobre TLS e passagem de firewall para RDP/SSH: use um
cliente Web baseado em HTML5 que é transmitido automaticamente para seu
dispositivo local. Você obterá seu protocolo RDP e SSH para atravessar os
firewalls corporativos com segurança.
 Não é necessário IP público na VM do Azure: o Azure Bastion abre a conexão
RDP/SSH com sua máquina virtual do Azure usando IP privado em sua VM. Você
não precisa de um endereço IP público.
 Sem problemas de gerenciamento de NSGs: um serviço PaaS de plataforma
totalmente gerenciado do Azure que é protegido internamente para fornecer
conectividade RDP/SSH segura. Você não precisa aplicar nenhum NSGs em uma
sub-rede do Azure Bastion.
 Proteção contra a varredura de porta: como você não precisa expor suas
máquinas virtuais à Internet pública, suas VMs são protegidas contra a varredura
de portas por usuários invasores e mal-intencionados localizados fora de sua
rede virtual.
 Proteja-se contra explorações de dia zero: um serviço de PaaS totalmente
gerenciado por plataforma. Como ele reside no perímetro de sua rede virtual,
você não precisa se preocupar em proteger cada uma das máquinas virtuais da
sua rede virtual. A plataforma Azure oferece proteção contra explorações de dia
zero, mantendo o Azure Bastion protegido e sempre atualizado para você.

O WAF (Firewall do Aplicativo Web) fornece proteção centralizada de seus

aplicativos Web contra vulnerabilidades e explorações comuns. Um WAF
centralizado ajuda a tornar o gerenciamento de segurança mais simples,
melhora o tempo de resposta para uma ameaça de segurança e permite a
aplicação de patch em uma vulnerabilidade conhecida em um único lugar, em
vez de proteger cada aplicativo Web. Um WAF também oferece aos
administradores de aplicativos melhor garantia de proteção contra ameaças e
invasões.

Serviços com suporte

O WAF pode ser implantado com o Gateway de Aplicativo do Azure, o Azure

Front Door e o serviço da Rede de Distribuição de Conteúdo (CDN) do Azure da
Microsoft. O WAF tem recursos que são personalizados para cada serviço
específico.

O WAF fornece proteção centralizada de seus aplicativos Web contra

vulnerabilidades e explorações comuns.
Descrever as maneiras como o Azure
criptografa dados

Criptografia no Azure

O Microsoft Azure fornece várias maneiras diferentes de proteger seus dados,

cada um dependendo do serviço ou uso necessário.

 A Criptografia do Serviço de Armazenamento do Azure ajuda a proteger os

dados inativos ao criptografar automaticamente antes de persisti-los no Azure
Managed Disks, no Armazenamento de Blobs, de Arquivos ou de Filas do Azure e
descriptografa os dados antes da recuperação.
 O Azure Disk Encryption ajuda você a criptografar os discos da máquina virtual
da IaaS do Windows ou Linux. Ele usa o recurso BitLocker do Windows padrão do
setor e o recurso DM-Crypt do Linux para fornecer criptografia de volume para os
discos do sistema operacional e de dados.
 A TDE (Transparent Data Encryption) ajuda a proteger o Banco de Dados SQL
do Azure e o Data Warehouse do Azure contra a ameaça de atividades mal-
intencionadas. Ela realiza a criptografia e a descriptografia em tempo real do
banco de dados, de backups associados e de arquivos de log de transações em
repouso, sem a necessidade de alterações no aplicativo.

 que é o Azure Key Vault?

O Azure Key Vault é um serviço de nuvem centralizado para armazenar seus

segredos do aplicativo. O Key Vault ajuda você a controlar os segredos de seus
aplicativos mantendo-os em uma única localização central e fornecendo
funcionalidades de acesso seguro, controle de permissões e registro de acesso
em log. Ele é útil para diferentes tipos de cenários:

 Gerenciamento de segredos. Você pode usar o Key Vault para armazenar com
segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves
de API (Application Programming Interface) e outros segredos.
 Gerenciamento de chaves. Você pode usar o Key Vault como uma solução de
gerenciamento de chaves. O Key Vault facilita a criação e o controle das chaves
de criptografia usadas para criptografar seus dados.
 Gerenciamento de certificado. O Key Vault permite provisionar, gerenciar e
implantar seus certificados SSL/TLS (Secure Sockets Layer/Transport Layer
Security) públicos e privados para o Azure e recursos conectados internamente
com mais facilidade.
  Armazenar segredos apoiados por HSMs (módulos de segurança de
hardware). As chaves e os segredos podem ser protegidos por software ou
HSMs validados por FIPS 140-2 Nível 2.

Use as várias maneiras pelas quais o Azure pode criptografar seus dados para
ajudá-lo a protegê-lo qualquer que seja o local ou o estado.

 pacote Microsoft 365 Defender protege:

 Identidades com o Microsoft Defender para Identidade e Azure AD

Identity Protection – O Microsoft Defender para Identidade usam os
sinais do Active Directory para identificar, detectar e investigar ameaças
avançadas, identidades comprometidas e ações internas intencionais
direcionadas para a sua organização.
 Pontos de extremidade com o Microsoft Defender for Endpoint – o
Microsoft Defender for Endpoint é uma plataforma de ponto de
extremidade unificada para proteção preventiva, detecção de pós-
violação, investigação automatizada e resposta.
 Aplicativos com o Microsoft Defender for Cloud Apps – O Microsoft
Defender for Cloud Apps é uma solução abrangente de SaaS cruzada que
traz visibilidade profunda, controles de dados sólidos e proteção
aprimorada contra ameaças para seus aplicativos de nuvem.
 Email e a colaboração com o Microsoft Defender para Office 365 – O
Defender para Office 365 protege sua organização contra ameaças mal-
intencionadas, que são causadas por mensagens de email, links (URLs) e
ferramentas de colaboração.

Use o Microsoft Defender para proteger sua organização contra ataques

cibernéticos sofisticados. Ele coordena sua detecção, prevenção, investigação e
resposta a ameaças em pontos de extremidade, identidades, emails e
aplicativos.

Descrever o Microsoft Defender para

Office 365
Concluído100 XP

 4 minutos

O Microsoft Defender para Office 365 protege sua organização contra ameaças
mal-intencionadas, geradas por mensagens de email, links (URLs) e ferramentas
de colaboração, incluindo Microsoft Teams, SharePoint Online, OneDrive for
Business e outros clientes do Office.
O Microsoft Defender para Office 365 abrange essas principais áreas:

 Políticas de proteção contra ameaças: defina as políticas de proteção contra

ameaças para definir o nível apropriado de proteção para a sua organização.
 Relatórios: exiba relatórios em tempo real para monitorar o desempenho do
Microsoft Defender para Office 365 em sua organização.
 Recursos de investigação e resposta de ameaças: use ferramentas de ponta
para investigar, entender, simular e evitar ameaças.
 Recursos automatizados de investigação e resposta: economize tempo e
esforço investigando e reduzindo as ameaças.

O Microsoft Defender para Office 365 está disponível em dois planos. O plano
escolhido influencia as ferramentas que você verá e usará. É importante ter
certeza de que você selecionou o melhor plano para atender às necessidades da
sua organização.

Microsoft Defender para Office 365 Plano 1

Este plano oferece ferramentas de configuração, proteção e detecção para o seu

pacote do Office 365:

 Anexos seguros: verifica anexos de email em busca de conteúdo mal-

intencionado.
 Links seguros: os links são verificados para cada clique. Um link seguro
permanece acessível, mas links mal-intencionados são bloqueados.
 Anexos Seguros para SharePoint, OneDrive e Microsoft Teams: protegem sua
organização quando os usuários colaboram e compartilham arquivos ao
identificar e bloquear os arquivos mal-intencionados em sites de equipe e
bibliotecas de documentos.
 Proteção contra phishing: detecta tentativas de representar seus usuários e
domínios personalizados ou internos.
 Detecções em tempo real: um relatório em tempo real que permite identificar e
analisar ameaças recentes.

Microsoft Defender para Office 365 Plano 2

Este plano inclui todos os principais recursos do Plano 1 e fornece automação,

investigação, correção e ferramentas de simulação para ajudar a proteger seu
pacote do Office 365:

 Rastreadores de ameaças: forneça a mais recente inteligência sobre problemas

de segurança cibernética prevalecentes e permita que uma organização tome
medidas defensivas antes que haja uma ameaça real.
 Explorador de ameaças: um relatório em tempo real que permite identificar e
analisar ameaças recentes.
  AIR (Investigação e Resposta Automatizadas): inclui um conjunto de guias
estratégicos de segurança que podem ser iniciados automaticamente, como
quando um alerta é disparado, ou manualmente. Um guia estratégico de
segurança pode iniciar uma investigação automatizada, fornecer resultados
detalhados e recomendar ações que a equipe de segurança pode aprovar ou
rejeitar.
 Simulador de ataque: permite que você execute cenários de ataque realistas em
sua organização para identificar vulnerabilidades. Essas simulações testam suas
políticas e práticas de segurança, bem como treinam seus funcionários para
aumentar a conscientização e diminuir a suscetibilidade a ataques.
 Procure ameaças de maneira proativa com a busca avançada no Microsoft
365 Defender: a busca avançada é uma ferramenta de busca de ameaças
baseada em consulta que permite explorar até 30 dias de dados brutos. Você
pode inspecionar eventos de forma proativa em sua rede para localizar
indicadores de ameaça e entidades.
 Investigue alertas e incidentes no Microsoft 365 Defender: os clientes do
Microsoft Defender para Office 365 P2 têm acesso à integração do Microsoft 365
Defender para detectar, revisar e responder com eficiência a incidentes e alertas.

Disponibilidade do Microsoft Defender para Office 365

O Microsoft Defender para Office 365 está incluído em determinadas

assinaturas, como na do Microsoft 365 E5, Office 365 E5, Office 365 A5 e do
Microsoft 365 Business Premium.

Se sua assinatura não incluir o Defender para Office 365, você poderá comprá-
lo como complemento.

Use o Microsoft 365 Defender para Office 365 para proteger as ferramentas e as
mensagens de colaboração de sua organização.

Microsoft Defender para Office 365 Plano 1

Este plano oferece ferramentas de configuração, proteção e detecção para o seu

pacote do Office 365:

 Anexos seguros: verifica anexos de email em busca de conteúdo mal-

intencionado.
 Links seguros: os links são verificados para cada clique. Um link seguro
permanece acessível, mas links mal-intencionados são bloqueados.
 Anexos Seguros para SharePoint, OneDrive e Microsoft Teams: protegem sua
organização quando os usuários colaboram e compartilham arquivos ao
identificar e bloquear os arquivos mal-intencionados em sites de equipe e
bibliotecas de documentos.
  Proteção contra phishing: detecta tentativas de representar seus usuários e
domínios personalizados ou internos.
 Detecções em tempo real: um relatório em tempo real que permite identificar e
analisar ameaças recentes.

Microsoft Defender para Office 365 Plano 2

Este plano inclui todos os principais recursos do Plano 1 e fornece automação,

investigação, correção e ferramentas de simulação para ajudar a proteger seu
pacote do Office 365:

 Rastreadores de ameaças: forneça a mais recente inteligência sobre problemas

de segurança cibernética prevalecentes e permita que uma organização tome
medidas defensivas antes que haja uma ameaça real.
 Explorador de ameaças: um relatório em tempo real que permite identificar e
analisar ameaças recentes.
 AIR (Investigação e Resposta Automatizadas): inclui um conjunto de guias
estratégicos de segurança que podem ser iniciados automaticamente, como
quando um alerta é disparado, ou manualmente. Um guia estratégico de
segurança pode iniciar uma investigação automatizada, fornecer resultados
detalhados e recomendar ações que a equipe de segurança pode aprovar ou
rejeitar.
 Simulador de ataque: permite que você execute cenários de ataque realistas em
sua organização para identificar vulnerabilidades. Essas simulações testam suas
políticas e práticas de segurança, bem como treinam seus funcionários para
aumentar a conscientização e diminuir a suscetibilidade a ataques.
 Procure ameaças de maneira proativa com a busca avançada no Microsoft
365 Defender: a busca avançada é uma ferramenta de busca de ameaças
baseada em consulta que permite explorar até 30 dias de dados brutos. Você
pode inspecionar eventos de forma proativa em sua rede para localizar
indicadores de ameaça e entidades.
 Investigue alertas e incidentes no Microsoft 365 Defender: os clientes do
Microsoft Defender para Office 365 P2 têm acesso à integração do Microsoft 365
Defender para detectar, revisar e responder com eficiência a incidentes e alertas.

Disponibilidade do Microsoft Defender para Office 365

O Microsoft Defender para Office 365 está incluído em determinadas

assinaturas, como na do Microsoft 365 E5, Office 365 E5, Office 365 A5 e do
Microsoft 365 Business Premium.

Se sua assinatura não incluir o Defender para Office 365, você poderá comprá-
lo como complemento.
Use o Microsoft 365 Defender para Office 365 para proteger as ferramentas e as
mensagens de colaboração de sua organização.

Microsoft Defender para Ponto de

Extremidade
O Microsoft Defender para Ponto de Extremidade é uma plataforma criada para
ajudar as redes corporativas a proteger os pontos de extremidade. Ele faz isso
impedindo, detectando, investigando e respondendo a ameaças avançadas. O
Microsoft Defender para Ponto de Extremidade incorpora a tecnologia incluídas
nos serviços de nuvem do Windows 10 e MSFT.

Essa tecnologia inclui sensores comportamentais de ponto de extremidade que

coletam e processam sinais do sistema operacional, a análise de segurança de
nuvem que transforma sinais em insights, detecções e recomendações e a
inteligência contra ameaças para identificar ferramentas de invasor & técnicas e
gerar alertas.

 Microsoft Defender para Ponto de Extremidade inclui:

 Gerenciamento de ameaças e vulnerabilidades: uma abordagem

baseada em risco para a descoberta, a priorização e a correção de
vulnerabilidades de ponto de extremidade e configurações incorretas. Ele
usa sensores em dispositivos para evitar a necessidade de agentes ou
verificações e prioriza vulnerabilidades.
 Redução da superfície de ataque: o conjunto de recursos de redução da
superfície de ataque fornece a primeira linha de defesa na pilha. Ao
garantir que as definições de configuração sejam definidas corretamente e
as técnicas de mitigação de exploração sejam aplicadas, os recursos
resistirão a ataques e exploração. Esse conjunto de recursos também inclui
proteção de rede e proteção na Web, que regula o acesso a endereços IP
mal-intencionados, domínios e URLs, ajudando a impedir que os
aplicativos acessem locais perigosos
 Proteção de próxima geração: reúne aprendizado de máquina, análise de
Big Data, pesquisa de resistência a ameaças e a infraestrutura de nuvem da
Microsoft para proteger dispositivos em sua organização empresarial.
 Detecção e resposta de ponto de extremidade: fornece detecções de
ataque avançadas quase em tempo real e acionáveis. Analistas de
segurança podem priorizar alertas, ver o escopo completo de uma
violação e agir em resposta a ameaças para remediá-las.
 Investigação e correção automatizadas: o recurso de investigação
automatizada usa algoritmos de inspeção e processos usados por analistas
 (como guias estratégicos) para examinar alertas e tomar uma ação de
correção rápida para resolver violações. Esse processo reduz
significativamente o volume de alertas que devem ser investigados
individualmente.
 Especialistas em ameaças da Microsoft: um serviço de busca de ameaças
gerenciadas que fornece ao Centro de operações de segurança (SOCs)
ferramentas de monitoramento e análise para garantir que ameaças
críticas não sejam perdidas.
 Gerenciamento e APIs: fornece APIs para integrar com outras soluções.

O Microsoft Defender para Ponto de Extremidade inclui a pontuação de

segurança da Microsoft para dispositivos para ajudá-lo a avaliar dinamicamente
o estado de segurança de sua rede corporativa, identificar sistemas
desprotegidos e tomar as medidas recomendadas para melhorar a segurança
em geral. O Microsoft Defender para Ponto de Extremidade integra-se a vários
componentes no pacote do Microsoft Defender e a outras soluções da
Microsoft, incluindo o Intune e o Microsoft Defender for Cloud.

Use o Microsoft Defender para Ponto de Extremidade para proteger os pontos

de extremidade da sua organização e responder a ameaças avançadas.

Microsoft Defender for Cloud

Aplicativos

O Microsoft Defender for Cloud Apps é um CASB (agente de segurança de

acesso à nuvem). Ele é uma solução abrangente de SaaS cruzado que opera
como um intermediário entre um usuário de nuvem e o provedor de nuvem. O
Microsoft Defender for Cloud Apps fornece visibilidade avançada para seus
serviços de nuvem, controle sobre viagens de dados e análise sofisticada para
identificar e combater ameaças cibernéticas em todos os serviços de nuvem da
Microsoft e de terceiros. Use esse serviço para obter visibilidade na TI sombra,
descobrindo os aplicativos de nuvem que estão sendo usados. Você pode
controlar e proteger os dados nos aplicativos depois que os aprovar para o
serviço.

O Microsoft Defender for Cloud Apps é um CASB (agente de segurança de

acesso à nuvem). Ele é uma solução abrangente de SaaS cruzado que opera
como um intermediário entre um usuário de nuvem e o provedor de nuvem.
O Microsoft Defender for Cloud Apps fornece visibilidade avançada para seus
serviços de nuvem, controle sobre viagens de dados e análise sofisticada para
identificar e combater ameaças cibernéticas em todos os serviços de nuvem
 da Microsoft e de terceiros. Use esse serviço para obter visibilidade na TI
sombra, descobrindo os aplicativos de nuvem que estão sendo usados. Você
pode controlar e proteger os dados nos aplicativos depois que os aprovar
para o serviço.

A estrutura do Defender for Cloud Apps

O Microsoft Defender for Cloud Apps é criado em uma estrutura que fornece as
seguintes funcionalidades:

 Descubra e controle o uso de TI sombra: identifique os aplicativos de nuvem,

IaaS e PaaS usados por sua organização. Investigue os padrões de uso, avalie os
níveis de risco e a preparação da empresa contra mais de 80 riscos em mais de 25
mil aplicativos SaaS.
 Proteja-se contra ameaças cibernéticas e anomalias: detecte comportamentos
incomuns em aplicativos de nuvem para identificar ransomware, usuários
comprometidos ou aplicativos não autorizados. Analise o uso de alto risco e faça
correções automaticamente para limitar o risco à sua organização.
 Proteger informações confidenciais emqualquer lugar na nuvem: entenda e
classifique informações confidenciais inativas e proteja-as contra exposição. Use
as políticas prontas para uso e os processos automatizados para aplicar controles
em tempo real em todos os seus aplicativos na nuvem.
 Avalie a conformidade de seus aplicativos na nuvem: avalie se os seus
aplicativos na nuvem atendem aos requisitos de conformidade relevantes,
incluindo conformidade regulamentar e padrões do setor. Evite vazamentos de
dados para aplicativos não compatíveis e limite o acesso a dados
regulamentados.

Funcionalidade do Microsoft Defender for Cloud Apps

O Defender for Cloud Apps Security fornece os componentes da estrutura por

meio de uma ampla lista de recursos e funcionalidades. Abaixo estão listados
alguns exemplos.

 O Cloud Discovery mapeia e identifica seu ambiente de nuvem e os

aplicativos na nuvem que sua organização usa. O Cloud Discovery usa os
logs de tráfego para descobrir e analisar dinamicamente os aplicativos de
nuvem sendo usados.

 Sancionar e cancelar a sanção de aplicativos em sua organização

usando o Catálogo de aplicativos na nuvem que inclui mais de 25 mil
aplicativos de nuvem. Os aplicativos são classificados e pontuados com
base nos padrões do setor. Você pode usar o catálogo de aplicativos na
 nuvem para classificar o risco para seus aplicativos de nuvem com base em
certificações regulatórias, padrões da indústria e práticas recomendadas.

 Use Conectores de aplicativos para integrar aplicativos de nuvem da

Microsoft ou de terceiros ao Microsoft Defender for Cloud Apps,
estendendo o controle e a proteção. O Defender for Cloud Apps consulta
logs de atividades no aplicativo e examina dados, contas e conteúdo de
nuvem que podem ser usados para impor políticas, detectar ameaças e
fornecer ações de governança para resolver problemas.

 A proteção do Controle de Aplicativos de Acesso Condicional oferece

visibilidade em tempo real e controle sobre o acesso e as atividades dos
aplicativos na nuvem. Evite vazamentos de dados bloqueando downloads
antes que eles aconteçam, definindo regras para exigir que os dados
armazenados e baixados da nuvem sejam protegidos com criptografia e
controlando o acesso de redes não corporativas ou arriscadas.

 Use políticas para detectar comportamento de risco, violações ou pontos

de dados suspeitos e atividades em seu ambiente de nuvem. Você pode
usar políticas para integrar os processos de correção e alcançar a
mitigação de risco.

Microsoft Defender para Identidade

Concluído100 XP

 3 minutos

O Microsoft Defender para Identidade é uma solução de segurança baseada em

nuvem. Ele usa seus dados locais do Active Directory (chamados de sinais) para
identificar, detectar e investigar ameaças avançadas, identidades
comprometidas e ações internas intencionais informadas direcionadas à sua
organização.

O Microsoft Defender para Identidade fornece aos profissionais de segurança a

funcionalidade de ambientes híbridos para:

 Monitorar e criar perfis de comportamento e de atividades do usuário.

 Proteger as identidades de usuário e reduzir a superfície de ataques.
 Identificar e investigar atividades suspeitas e ataques avançados em toda a cadeia
do ataque cibernético.
 Fornecer informações claras sobre incidentes em uma linha do tempo simples
para triagem rápida

Portal de Confiança do Serviço

O Portal de Confiança do Serviço fornece informações, ferramentas e outros
recursos sobre as práticas de segurança, privacidade e conformidade da
Microsoft. Entre com sua conta dos serviços em nuvem da Microsoft para
acessar toda a documentação disponível.

Descoberta eletrônica

SSPR (redefinição de senha por autoatendimento)

Pontuação de conformidade?

Política de retenção

Windows Hello (PIN , Autenticações)

Criptografar informações que residem em armazenamento persistente

em mídia física.

Microsoft Cloud Adoption

Azure Web Application Firewall 

AD Cloud App Discovery 

Microsoft 365 Defender Suite

Azure Active Directory ( Premium p1 / P2/Gratuito) Funções disponíveis

Azure Bastion

Zero Trust

Microsoft Sentinel

 Microsoft gerencia segurança, privacidade e conformidade na nuvem da

Microsoft

Microsoft Defender

Cloud Access Security Broker 

Auditoria Avançada no Microsoft 365

 DDOS do Azure (Basi, Padrao, Avançado

Microsoft 365 (assinatura entre outros

Auditoria de Exchange

Microsoft Secure Score

Gerenciamento de Direitos

Conformidade do Microsoft

Microsoft Defender para Office 365

Azure Defender

Cloud Discovery 

Azure Security Benchmark

 Microsoft Cloud Discovery

Microsoft Compliance Manager

 Privileged Identity Management

Microsoft Azure Sentinel é uma solução SIEM/SOAR 

1 -Qual dos seguintes criptografa dados em repouso no Azure Data

Warehouse?

Explicação
A Azure Disk Encryption protege os dados em repouso nos principais serviços
de Armazenamento do Azure, como armazenamento de BLOBs do Azure,
arquivos do Azure, armazenamento de fila do Azure e discos gerenciados.

A Criptografia do Armazenamento do Azure discos de máquinas virtuais

Windows e Linux.
A Transparent Data Encryption (TDE) protege os dados no Banco de Dados
SQL do Azure e no Azure Data Warehouse.
Opção Transparent Data Encryption (TDE) é a resposta correta.

2- Com qual dos seguintes serviços do Azure você pode implantar o Firewall
de Aplicativo Web do Azure?
Em sua essência, um Web Application Firewall (WAF) é uma política que contém
regras que protegem seus aplicativos da Web contra ameaças de segurança
comuns.

A política WAF não é um recurso autônomo. Você usa uma política de firewall
de aplicativo da Web com:

· Gateway de aplicativo do Azure

· Porta da Frente Azure

· Rede de entrega de conteúdo do Azure (CDN)

A opção Azure Front Door é a resposta correta.

3- Seu administrador de TI habilitou a redefinição de senha de

autoatendimento para as contas de usuário da sua equipe. Qual dos seguintes
NÃO é um método de autenticação que você pode registrar para SSPR?

Explicação
Os seguintes métodos de autenticação estão disponíveis para SSPR:

· Notificação de aplicativo móvel

· Código do aplicativo móvel

· E-mail

· Celular

· Telefone Comercial
· Perguntas de segurança

Autenticação com Reconhecimento facial não está disponível.

4 -Qual das opções a seguir NÃO é uma ferramenta de descoberta eletrônica

oferecida pelo Microsoft 365?

Portanto, a opção Rótulos de sensibilidade é a resposta correta.

Os rótulos de confidencialidade fazem parte da proteção de informações da

Microsoft e não da descoberta eletrônica. Ele permite rotular, classificar e
proteger seus dados à medida que as equipes compartilham arquivos dentro e
fora de sua organização.

Explicação
O eDiscovery ajuda você a procurar informações que a empresa pode usar
como prova em casos legais. O Microsoft 365 fornece as três ferramentas de
descoberta eletrônica a seguir:

· Pesquisa de conteúdo

· Diretor de eDiscovery

· eDiscovery Avançada

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
ediscovery-capabilities-of-microsoft-365/2-describe-purpose-of-ediscovery

8- Sua empresa está planejando usar o Azure Active Directory. Eles já têm
identidades de usuário armazenadas em seu Active Directory local. Eles desejam
sincronizar as identidades de usuário de seu Active Directory local para o Azure
Active Directory. Qual dos seguintes poderia ser usado para esta finalidade?

O Azure AD Connect é usado para sincronizar identidades do Active Directory

local para o Azure Active Directory. Existem diferentes métodos disponíveis para
sincronização de identidade do usuário.
Azure Blueprints está incorreta, pois é usada para definir um conjunto repetível
de recursos do Azure.
Azure AD Connect está incorreta, pois é usada para proteger identidades no
Azure AD.
Azure AD Privileged Identity Management está incorreta, pois é usada para
fornecer acesso just-in-time a recursos no Azure AD.
9- Quais dos seguintes tipos de ações de melhoria fornecem os pontos mais
altos para a pontuação de conformidade?
Suas ações recebem uma pontuação com base no fato de serem obrigatórias ou
discricionárias e se forem preventivas, detetivas ou corretivas.

Como visto na imagem, as ações obrigatórias obtêm uma pontuação maior do

que as discricionárias. E as ações preventivas obtêm uma pontuação maior do
que as detetives e corretivas.

Assim, as ações obrigatórias e preventivas fornecem os pontos mais altos para a

pontuação de conformidade.

A opção Ações obrigatórias e preventivas é a resposta correta

11-Uma empresa deseja usar o Windows Hello para negócios quando se trata
de autenticação. Quais das seguintes são as técnicas de autenticação
disponíveis para o Windows Hello para empresas? Escolha 3 respostas entre as
opções abaixo

Explicação
Todo o propósito do Windows Hello para empresas é garantir que as senhas não sejam
usadas no processo de autenticação. Aqui os usuários podem usar outras técnicas de
autenticação por meio do uso de PIN, reconhecimento biométrico e Reconhecimento
Facial.

12-Qual dos seguintes mapeia para a técnica de criptografia abaixo?

Criptografar informações que residem em armazenamento persistente em
mídia física.
Explicação
Esse conceito é mapeado para o conceito de garantir que os dados
sejam criptografados em repouso. Os dados na mídia física subjacente são
criptografados.

As outras opções estão todas incorretas, pois a palavra-chave “repouso” mapeia

para dados que residem no dispositivo físico

13- Contra quais das seguintes vulnerabilidades o Azure Web Application

Firewall NÃO protege?
Explicação
O Firewall de Aplicativo Web do Azure (WAF) protege seus aplicativos Web
contra ataques de camada de aplicativo (camada 7 no modelo OSI).

Exemplo: ataques de injeção de SQL e ataques de script entre sites

HTTP é um protocolo de camada de aplicação (opera na camada 7 do modelo

OSI). O Azure WAF protege seu aplicativo Web contra vulnerabilidades no
protocolo HTTP.

Exemplo: contrabando de solicitações HTTP

Observação: essa opção é fácil de deduzir se você souber que o WAF geralmente

protege a camada de aplicativo e o protocolo HTTP opera na camada de
aplicativo.
Opções Ataques de injeção de SQL, ataques de script entre sites e
contrabando de solicitações HTTP estão incorretos.

Link de referência:

https://docs.microsoft.com/pt-br/azure/web-application-firewall/ag/ag-
overview#features

Verificação de portas, um método que identifica portas de rede abertas, é

comumente visto na camada de transporte/rede do modelo OSI (camadas 3 e
4). O Firewall do Azure, não o WAF do Azure, detecta tentativas de verificação
de porta.

Link de referência: https://azure.microsoft.com/pt-br/blog/announcing-new-
capabilities-in-azure-firewall/
14 - Seu consultor sugeriu o uso do Azure AD Cloud App Discovery para
resolver as preocupações relacionadas à sombra de TI.
Qual é a edição mínima do Azure Active Directory necessária para usar este
produto?
O Azure Active Directory Premium P1 inclui o Azure Active Directory Cloud App
Discovery que contém um subconjunto dos recursos de descoberta do
Microsoft Defender for Cloud Apps.
15- O Microsoft 365 Defender Suite fornece funcionalidade para sua equipe de
TI avaliar sinais de ameaça de identidades, EndPoints, aplicativos e ___________ de
suas organizações.
O pacote Microsoft 365 Defender inclui os 4 serviços abaixo que protegem identidades,
pontos de extremidade, aplicativos e emails:

- Microsoft Defender para Endpoint

- Microsoft Defender para Office 365

- Microsoft Defender para Identidade

- Segurança de aplicativos em nuvem da Microsoft

Microsoft Defender para Office 365 protege seus e-mails de phishing e anexos
maliciosos. A resposta correta é E-mail.

Os bancos de dados são protegidos pelo Azure Defender para SQL, mas não fazem
parte do pacote Microsoft 365 Defender.
As contas de armazenamento são protegidas pelo Azure Defender for Storage, mas não
fazem parte do pacote Microsoft 365.

Os Registros de Contêiner são protegidos pelo Azure Defender para Registros de

Contêiner, mas não fazem parte do pacote Microsoft 365.

16 - Para automatizar os fluxos de trabalho de solicitação de acesso para novos

membros da equipe, você criou um pacote de acesso que contém todos os
recursos necessários.
Qual dos seguintes NÃO define as regras de atribuição ao pacote de acesso?
Explicação
Você define pacotes de acesso no gerenciamento de direitos do Azure AD para
automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso e
expiração de acesso. Isso é importante porque, muitas vezes, os usuários (novos
funcionários ou aqueles com mudanças de função recentes) não sabem de que acesso
precisam e a quem solicitar acesso.

Ao definir um pacote de acesso com todos os recursos (por exemplo, grupos de

segurança, sites do SharePoint, acesso a diferentes aplicativos) de que um conjunto
específico de usuários precisa, você simplifica o processo de integração. Eles solicitam
acesso uma vez e obtêm acesso a um grupo de recursos relacionados.

Mas não pode ser que qualquer pessoa possa solicitar acesso. Você define políticas que
determinam as regras para atribuição ao pacote de acesso:

· Quem pode solicitar acesso?

· Quem pode aprovar o acesso?
· Quando seu acesso expirar?
17- Você planeja implantar o serviço Azure Bastion para permitir que seus
desenvolvedores, que trabalham em casa, acessem com segurança as VMs do
Azure.
Onde você os implantaria?
Explicação
O Azure Bastion fornece conectividade RDP/SSH segura para suas VMs
diretamente do portal do Azure. Você implanta o Azure Bastion em uma rede
virtual, não em VMs ou assinaturas ou grupos de recursos.

Quando você provisiona um serviço Azure Bastion em sua VNet, a conectividade

RDP/SSH fica disponível para todas as suas VMs na mesma VNet.

A opção VNets do Azure é a resposta correta.

18 -Qual dos seguintes NÃO é um dos princípios orientadores do modelo Zero
Trust?
Explicação
O modelo Zero Trust tem três princípios orientadores que determinam como
você implementa a segurança da sua organização.

Eles estão:

· Verificar explicitamente: Verificando a identidade de um usuário com todos os

pontos de dados disponíveis.

· Acesso menos privilegiado: Limite o acesso do usuário com JIT/JEA.

· Assumir violação: Verifique se todas as sessões estão criptografadas de ponta a

ponta, evite movimentos laterais segmentando o acesso pela rede.

A opção Verificar solicitações explicitamente usando sinais como

credenciais, localização e dispositivos está relacionada ao princípio Verificar
explicitamente. Então está incorreto.

Opção Limitar o acesso do usuário com acesso just-in-time e just-

enough está relacionado ao princípio Acesso menos privilegiado. Então está
incorreto.

Opção Princípio de acesso com privilégios mínimos também está incorreto.

O Princípio da separação de tarefas afirma que nenhum usuário, função ou

grupo deve ser poderoso o suficiente para executar todas as partes de um
processo. NÃO está relacionado ao modelo Zero Trust. Opção O Princípio da
separação de funções é a resposta correta.
19 - Seu espaço tem muitas fontes de dados diferentes nas quais os dados são
armazenados. Qual ferramenta deve ser usada com o Microsoft Sentinel para
obter insights rapidamente sobre seus dados assim que uma fonte de dados
estiver conectada?
Depois de conectar as fontes de dados ao Microsoft Sentinel, você poderá
monitorar os dados usando a integração do Microsoft Sentinel às Pastas de
Trabalho do Azure Monitor. Aparecerá uma tela de análise de dados e de
criação de relatórios visuais avançados no portal do Azure. Por meio dessa
integração, o Microsoft Sentinel permite que você crie pastas de trabalho
personalizadas em seus dados. Ele também conta com modelos de pasta de
trabalho integrados, que permitem insights rápidos sobre seus dados assim que
você conecta uma fonte de dados.

Portanto a resposta correta é Pastas de Trabalho do Azure Monitor

Usar a integração do Microsoft Sentinel com Pastas de Trabalho do Azure
Monitor permite monitorar dados e fornece versatilidade na criação de pastas
de trabalho personalizadas.

20 -Qual dos seguintes NÃO é um artefato nos Blueprints do Azure?

Explicação
Você compõe os Blueprints do Azure com quatro artefatos diferentes:

· Modelos ARM

· Atribuições de funções

· Grupos de recursos

· Atribuições de política

Normalmente, você salva o Blueprint em um grupo de gerenciamento ou em

um escopo de assinatura. Portanto, é improvável que o grupo de
gerenciamento seja um artefato. Grupos de gerenciamento de opções é a
resposta correta.
21 -Qual das opções a seguir fornece informações sobre como a Microsoft
gerencia segurança, privacidade e conformidade na nuvem da Microsoft?

Dentro do Portal de Confiança de Serviço, existem diferentes seções:

1. O Compliance Manager ajuda você a gerenciar os requisitos de conformidade

da sua organização

2. Os Documentos de Confiança fornecem informações como Relatórios de

Auditoria, Proteção de Dados etc. que facilitam o cumprimento dos objetivos de
conformidade ao entender como o Microsoft Cloud mantém seus dados
seguros

3. Indústrias e Regiões fornece informações de conformidade sobre indústrias e

regiões específicas no Microsoft Cloud.

4. A Central de Confiabilidade contém informações sobre Privacidade,

Segurança e Conformidade na nuvem da Microsoft.

5. E outros.
Embora o Portal de Confiança de Serviço também se qualifique como a resposta
correta, a Central de Confiabilidade da Microsoft é a melhor resposta, pois os
aspectos de Privacidade, Segurança e Conformidade são específicos da Central
de Confiabilidade.
Portanto, a opção Portal de Confiança do Serviço Microsoft está incorreta
(para esta pergunta).
22- Os grupos de segurança de rede do Azure permitem que você
permita/nega o tráfego de rede de e para recursos do Azure.
A qual das seguintes opções um Grupo de Segurança de Rede (NSG) pode ser
associado diretamente (Selecione duas opções)?
Explicação
Como fica evidente na imagem abaixo, você pode associar um NSG a sub-redes ou
interfaces de rede.
Opções Sub-rede e Interface de rede são as respostas corretas.
23- Sua organização detectou uma ameaça contra seus recursos na qual um
agente mal-intencionado está tentando usar várias senhas conhecidas em uma
lista de nomes de usuário conhecidos. Que tipo de ataque isso seria classificado
como?
Explicação
Ataque de SQL injection está incorreta, pois os ataques de injeção de SQL são
feitos pela execução de instruções SQL maliciosas em um esforço para
manipular ou expor dados em um sistema de banco de dados.

Ataque DDoS está incorreta, pois um ataque DDoS ocorre quando um agente

mal-intencionado inunda um servidor ou outros recursos de rede com tantas
solicitações que o serviço não consegue responder às tentativas mal-
intencionadas ou tentativas válidas.

Ataques de dicionário está correta, pois os ataques de dicionário, também

conhecidos como ataques de força bruta, ocorrem quando um agente mal-
intencionado tenta repetidamente senhas conhecidas contra nomes de usuário
conhecidos na tentativa de obter acesso a um aplicativo ou sistema.

Ataque de Ransomware está incorreta, pois os ataques de ransomware

geralmente envolvem malware instalado em sistemas que dão acesso aos seus
dados a agentes mal-intencionados, nos quais eles podem criptografar os
dados e torná-los indisponíveis para as organizações, a menos que um resgate
seja pago para descriptografar os dados.
24- Qual das opções a seguir é a oferta da solução Cloud Access Security Broker
(CASB) da Microsoft?
Explicação
Existem três categorias populares de ferramentas de segurança na nuvem.
Cloud Workload Protection Platform (CWPP): Azure Defender

Gerenciamento de postura de segurança na nuvem (CSPM): Microsoft Defender

para nuvem

Agentes de segurança de acesso à nuvem (CASB): Microsoft Defender for Cloud

Apps

A opção Microsoft Defender for Cloud Apps é a resposta correta.

Link de referência:

25- Qual dos seguintes NÃO é um dos pilares fundamentais do modelo Zero
Trust?
Explicação
Abaixo estão todos os pilares do Zero Trust:

Identidades

Redes

Dispositivos

Dados

Infraestrutura

Aplicações

'Serviço' não é um deles. Option Service é a resposta correta.

26- De qual dos seguintes ataques a proteção de senha do Azure AD protege
sua organização (escolha a opção mais relevante)?
Explicação
Em um ataque de força bruta, o infrator tenta várias senhas (adivinhação) para uma
única conta em um curto período. Para se proteger contra eles, o Azure AD e outros
serviços Web são bloqueados após algumas tentativas malsucedidas.
Para contornar isso, os criminosos criaram uma variação de ataques de força bruta,
conhecidos como ataques de spray de senha. Em um ataque de spray de senha, o
infrator tenta combinar algumas senhas fracas conhecidas para várias contas de usuário.
Como a proteção de senha do Azure AD cria uma lista global de senhas banidas
originada de ataques de pulverização de senha reais, a opção Ataques de pulverização
de senha é a resposta mais relevante.
27 - Uma equipe de TI usa controles e tecnologias para descobrir shadow IT que
NÃO está em conformidade com as políticas de conformidade de sua
organização. Qual pilar do modelo Zero Trust eles estão tentando abordar?
Dos seis pilares fundamentais do modelo Zero Trust da Microsoft, o pilar
Aplicativos lida com a identificação de aplicativos não revisados e não
sancionados (shadow IT) que não estão em conformidade com as políticas da
sua organização.
28 - Qual é a duração da retenção do log de auditoria da Auditoria Avançada no
Microsoft 365?
Explicação
A Auditoria Avançada mantém todos os registros de auditoria do Exchange,
Azure AD e SharePoint por um ano. Isso ajuda as empresas a realizar
investigações forenses. Você precisa de uma licença do Office 365 G5/E5.

A Microsoft também está liberando a capacidade de reter logs de auditoria por

dez anos. Mas isso exigirá uma licença adicional.

Opção correta 1 Ano

29 - Como administrador líder, é importante convencer sua equipe a começar a

usar o Microsoft Sentinel. Você preparou uma apresentação. Quais são as
quatro áreas de operação de segurança do Microsoft Sentinel que abrangem
esse escopo?
Explicação
O gerenciamento eficaz do parâmetro de segurança de rede de uma
organização requer a combinação certa de ferramentas e sistemas. O Microsoft
Sentinel é uma solução de SIEM/SOAR escalonável e nativa de nuvem que
disponibiliza análise de segurança inteligente e inteligência contra ameaças para
toda a empresa. Ele fornece uma solução única para detecção de alertas,
visibilidade de ameaças, busca proativa e resposta a ameaças.
30 - O administrador de segurança deseja proteger os recursos do Azure contra
ataques de DDoS. Qual camada de proteção contra DDoS do Azure o
administrador usará para direcionar os recursos de rede virtual do Azure?
Explicação
A Proteção contra DDoS usa a escala e a elasticidade da rede global da
Microsoft para levar capacidade de mitigação de DDoS a todas as regiões do
Azure. Durante um ataque de DDoS, o Azure pode dimensionar suas
necessidades de computação para atender à demanda. A proteção contra DDoS
gerencia o consumo de nuvem, garantindo que a carga de rede só reflita o uso
real do cliente.

A proteção contra DDoS do Azure vem em duas camadas:

Básico: a camada de serviço básica é habilitada automaticamente para cada
propriedade no Azure, sem custo adicional, como parte da plataforma do Azure.
A mitigação em tempo real de ataques comuns no nível de rede e o
monitoramento de tráfego Always On fornecem os mesmos tipos de proteção
que os serviços online da Microsoft usam. A rede global do Azure é usada para
distribuir e reduzir o tráfego de ataques entre regiões.
Standard: a camada de serviço Standard fornece funcionalidades de mitigação
adicionais ajustadas especificamente aos recursos da Rede Virtual do Microsoft
Azure. A Proteção contra DDoS Standard é simples de ser habilitada e não exige
nenhuma alteração no aplicativo. As políticas de proteção são ajustadas por
meio do monitoramento de tráfego dedicado e de algoritmos de aprendizado
de máquina. As políticas são aplicadas a endereços IP públicos associados aos
recursos implantados em redes virtuais, como o Azure Load Balancer e o
Gateway de Aplicativo.

Portando a resposta correta é a opção Standard.

Não existem camadas chamadas de Avançadas ou Premium

31 - Quem é responsável por proteger a segurança das informações de
identificação pessoal (dados PII) de seu funcionário de acordo com o modelo de
responsabilidade compartilhada?
Explicação
De acordo com o modelo de responsabilidade compartilhada,
independentemente de SaaS/IaaS/PaaS, você (cliente da nuvem) é responsável
por todas as informações e dados migrados para a nuvem.

Opção Cliente é a escolha correta

32 - Você percebe que sua conta está bloqueada. Você verifica com seu
departamento de TI para desbloquear sua conta. Infelizmente, eles não estarão
disponíveis nas próximas 2 horas.
Quais dos seguintes recursos do Azure AD podem ajudá-lo a voltar ao trabalho
mais rapidamente?
Explicação
A redefinição de senha de autoatendimento (SSPR) é um recurso do Azure
AD que permite redefinir sua senha sem o envolvimento da equipe de TI. No
caso de bloqueio de conta, você pode desbloquear a conta sozinho. A opção
SSPR é a escolha correta.
Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
authentication-capabilities/5-describe-self-service-password-reset

Todas as outras opções estão incorretas.

MFA ou autenticação multifator solicita aos usuários uma forma adicional de
identificação. Não ajuda você a redefinir sua senha.
O SSO ou Single Sign-On permite que você faça login em um dispositivo
corporativo com uma conta e acesse automaticamente vários aplicativos
relacionados sem solicitar autenticação adicional.
O Acesso Condicional do Azure AD analisa os sinais e decide se deve exigir
que o usuário conclua determinadas ações para acessar recursos específicos
33 - Algumas contas do Microsoft 365 (com assinatura do Enterprise E3) em sua
organização estão comprometidas. Você precisa entender se o invasor acessou
alguma informação confidencial na caixa de e-mail do usuário.
É possível?
Explicação
Se um invasor obtiver acesso a mensagens de email, um evento
MailItemsAccessed será acionado. Portanto, inspecionar esse evento nos
ajudará a entender se as informações confidenciais na caixa de e-mail do
usuário são acessadas.
Mas o acesso ao evento MailItemsAccessed é fornecido pela Auditoria
Avançada, que está disponível apenas para organizações que adquiriram
assinaturas do Office 365/Microsoft 365 E5/G5.

Portanto, não, você não pode saber se o invasor acessou a caixa de e-mail do
usuário com uma assinatura do Enterprise E3.

34- Qual das seguintes atividades de auditoria de email do Exchange está

disponível apenas com a Auditoria Avançada?
Explicação
Os eventos mais cruciais que ajudam na condução de investigações forenses
estão em Auditoria Avançada:

· Acessando mensagens de e-mail (evento MailItemsAccessed)

· Enviar/responder/encaminhar uma mensagem de e-mail (Enviar evento)

· Procurando itens em uma caixa de correio (evento

SearchQueryInitiatedExchange)

· Procurando itens no SharePoint (evento SearchQueryInitiatedSharePoint)

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
audit-capabilities-microsoft-365/3-describe-purpose-value-advanced-
auditing#access-to-crucial-events-for-investigations
Opção Enviar um e-mail é a opção correta.
35 - Qual dos cenários a seguir é MELHOR aplicável para pacotes de acesso no
Gerenciamento de direitos?
Explicação
O gerenciamento de direitos do Azure AD ajuda a automatizar fluxos de
trabalho de solicitação de acesso, atribuições de acesso e expiração de acesso.
Isso é importante porque, muitas vezes, os usuários (novos funcionários ou
aqueles com mudanças de função recentes) não sabem de que acesso precisam
e a quem solicitar acesso.

Mas quem é o melhor cara para criar e gerenciar pacotes de acesso (define um
conjunto de recursos que os usuários precisam) no gerenciamento de direitos?

O primeiro link de referência abaixo fala sobre como delegar a criação de

pacotes de acesso a não administradores. Como apenas as equipes de projeto
individuais sabem qual acesso cada usuário precisa para realizar seu trabalho
com eficiência, é mais apropriado que elas gerenciem os pacotes de acesso.

Por exemplo, um novo funcionário do departamento de vendas pode precisar

de acesso a um grupo de campanha de vendas, um site de equipe do
SharePoint e acesso ao aplicativo Salesforce para realizar seu trabalho com
eficiência.

Portanto, equipes individuais devem criar e gerenciar pacotes de acesso.

Você pode criar políticas diferentes em um pacote de acesso para gerenciar
o acesso de usuários internos e externos (usuários em organizações
conectadas). Por exemplo:

· Para um usuário interno, você pode criar uma política que permita aprovações
automáticas.

· Para usuários externos, você pode criar outra política que exija que alguém os
aprove manualmente.

E funções privilegiadas não têm nada a ver com pacotes de acesso.

36 - Um administrador precisa identificar os usuários afetados por um alerta de

segurança na central de segurança do Microsoft 365. Onde ele pode encontrar
essa informação?
Explicação
Ele pode encontrar essas informações na seção Incidentes. Na verdade, não
apenas os usuários, ele pode encontrar todos os dispositivos e caixas de correio
também que foram afetados pelos alertas.
A opção Incidentes é a resposta correta.
Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
security-management-capabilities-of-microsoft-365/5-describe-incidents-
capabilities

A seção de relatórios na Central de Segurança do Microsoft 365 exibe cartões

que abrangem diferentes áreas, como identidades, dispositivos e dados.

Relatórios de opções é uma escolha incorreta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
security-management-capabilities-of-microsoft-365/4-explore-security-reports-
dashboards

Na Central de ações, você aprovará ou rejeitará as ações de correção

pendentes. É uma escolha incorreta.
Link de referência: https://docs.microsoft.com/pt-br/microsoft-365/security/
defender/m365d-autoir-actions?view=o365-worldwide

Classificação refere-se a rótulos de confidencialidade que aplicam

configurações de proteção (criptografia) a documentos e mensagens de email. É
uma escolha incorreta também.
https://docs.microsoft.com/pt-br/microsoft-365/compliance/data-classification-
overview?view=o365-worldwide
37 - Como os incidentes são definidos no Microsoft 365 Defender?
38- Para proteger sua máquina virtual do Azure de ser excluída acidentalmente,
você aplica um bloqueio de exclusão à VM. Mais tarde, seu gerente aplica um
bloqueio somente leitura ao grupo de recursos pai da VM.

Dado esse estado dos recursos do Azure, você pode anexar um novo disco à
VM?
Explicação
Não, você não pode anexar um novo disco à VM.

Nesse caso, a VM do Azure tem dois bloqueios:

· Primeiro, o bloqueio aplicado por você, diretamente no nível do recurso, o bloqueio

Excluir
· E o bloqueio somente leitura (aplicado pelo seu gerente) herdado do Grupo de
Recursos

Dos dois, o bloqueio mais restritivo na herança tem precedência.

O bloqueio somente leitura é o mais restritivo, pois não permite que um usuário exclua
ou modifique um recurso. Enquanto o bloqueio Excluir impede que um usuário exclua
apenas um recurso. Portanto, o bloqueio somente leitura impedirá que você anexe um
novo disco à VM.

Por exemplo, quando tento anexar um novo disco a uma VM (com um bloqueio de
exclusão), recebo um erro porque há um bloqueio somente leitura no grupo de recursos
pai (myResourceGroup). A mensagem de erro diz: 'remova o bloqueio no grupo de
recursos e tente novamente.'
39 - Qual software/serviço é a solução de gerenciamento de identidade e
acesso no Microsoft Cloud?
Explicação
O Azure Active Directory é o serviço de gerenciamento de acesso e identidade
baseado em nuvem da Microsoft na Nuvem do Azure.
A opção 'Azure Active Directory' é a resposta correta.

O Azure AD Identity Protection, um recurso do Azure AD premium, protege as

identidades da sua organização automatizando a detecção de usuários de riscos
e entradas arriscadas.

A opção 'Azure AD Identity Protection' é uma resposta incorreta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
identity-protection-governance-capabilities/5-describe-azure

O Azure AD Connect integra seu Active Directory ao Azure AD para que os

usuários tenham uma identidade única ao acessar recursos locais e na nuvem.

A opção 'Azure AD Connect' é uma resposta incorreta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
basic-services-identity-types/6-describe-concept-of-hybrid-identities

Os Serviços de Federação do Active Directory (AD FS) são uma solução de

Logon Único (SSO). Ele permite que seus parceiros/clientes acessem
perfeitamente seus aplicativos com suas identidades organizacionais (sem a
necessidade de gerenciar contas de usuário adicionais).

A opção 'Serviços de Federação do Active Directory' é uma resposta incorreta.

Link de referência: https://docs.microsoft.com/pt-br/windows-server/identity/
ad-fs/deployment/how-to-connect-fed-azure-adfs
40 - Qual é a diferença entre uma identidade gerenciada atribuída pelo sistema
e uma identidade gerenciada atribuída pelo usuário?

Existem dois tipos de identidades que você pode criar:

· Identidade gerenciada atribuída pelo sistema e,

· Identidade gerenciada atribuída pelo usuário.

A identidade gerenciada atribuída pelo sistema é criada como parte do

recurso do Azure. Assim:

· Tem o mesmo ciclo de vida do recurso Azure,

· Ele é excluído quando o recurso do Azure é excluído e,

· Como está associado a um recurso, você não pode usá-los com nenhum outro
recurso.

Por outro lado, a identidade gerenciada atribuída pelo usuário é criada

separadamente de qualquer outro recurso do Azure. Assim:

· Tem um ciclo de vida independente.

· Quando você exclui um recurso associado, ele ainda está disponível para ser
usado com outros recursos do Azure.

· Uma única identidade pode ser usada com muitos recursos do Azure.
Com base nas explicações acima, a opção 'Identidade gerenciada atribuída pelo
sistema é criada como parte de um recurso do Azure; A identidade gerenciada
atribuída pelo usuário é criada como um recurso autônomo' é a resposta
correta.

41 -A CIA é uma maneira de pensar sobre compensações de segurança. O que

significa o inicialismo CIA? (sigla em inglês, Algumas alternativas podem diferir)
Explicação
Confidencialidade, Integridade, Disponibilidade ou CIA são princípios que
ajudam a definir uma postura de segurança.
42 -Arraste e combine o serviço de nuvem apropriado na coluna da esquerda
ao seu caso de uso correspondente à direita:

Azure Sentinel --------------------------- | ----- Protege contra anexos maliciosos

Microsoft Defender para Office 365 ----- | ---- Revela shadow IT

Microsoft Defender for Cloud Apps ----- | ---- Protege a infraestrutura de

nuvem e híbrida

Azure Defender -------------------------- | ---- Coleta dados e responde a

incidentes

Explicação
Azure Sentinel -> Coleta dados e responde a incidentes
Microsoft Defender para Office 365 -> Protege contra anexos maliciosos
Microsoft Defender for Cloud Apps -> Revela shadow IT
Azure Defender -> Protege a infraestrutura de nuvem e híbrida
43 - Qual das seguintes afirmações sobre risco de login e risco do usuário é
VERDADEIRA?
Explicação
Um risco de usuário está relacionado a um risco de identidade. Um risco de
login está relacionado ao risco de um login ativo.

Um risco de entrada representa a probabilidade de que o proprietário da

identidade não tenha executado a solicitação de autenticação. Ele pode ser
detectado em tempo real ou offline.

Exemplo: login de um local diferente daquele de um local típico

Portanto, a opção Risco de login denota uma probabilidade de que o
proprietário da identidade não tenha realizado a solicitação de
autenticação seja a resposta correta.
44 - Você cria um pacote de acesso no gerenciamento de direitos e um
conjunto de recursos para ajudar a integrar novos membros da equipe.

Para quais dos seguintes tipos de recursos você pode gerenciar diretamente o
acesso do usuário com um pacote de acesso (selecione quatro opções)?

Explicação
Você cria pacotes de acesso no gerenciamento de direitos do Azure AD para
automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso e
expiração de acesso. Isso é importante porque, muitas vezes, os usuários (novos
funcionários ou aqueles com mudanças de função recentes) não sabem de que
acesso precisam e a quem solicitar acesso.

A seguir estão os tipos de recursos definidos em um pacote de acesso:

· Associação a grupos de segurança do Azure AD, grupos do Microsoft 365

· Acesso a aplicativos do Azure AD, aplicativos SaaS
· Acesso a sites do SharePoint Online

Você pode criar todos os recursos acima diretamente e gerenciar o acesso do

usuário a esses recursos.

Embora você não possa gerenciar diretamente o acesso às licenças do Microsoft

365 ou aos recursos do Azure, você pode adicionar um grupo de segurança do
Azure AD no pacote de acesso e:

· Dê acesso aos usuários que precisam de licenças do Microsoft 365 (as licenças
são atribuídas ao grupo; os usuários atribuídos ao grupo herdam as licenças.
Conhecido como licenciamento baseado em grupo).

· Crie uma atribuição de função do Azure para esse grupo (na assinatura, no
grupo de recursos ou no nível do recurso).

Link de referência:
https://docs.microsoft.com/pt-br/learn/modules/describe-identity-protection-
governance-capabilities/3-describe-what-entitlement-management-access-
reviews
https://docs.microsoft.com/pr-br/azure/active-directory/governance/
entitlement-management-overview#what-are-access-packages-and-what-
resources-can-i-manage-with-them
45- Qual das opções a seguir NÃO é um recurso de governança de identidade
no Azure Active Directory?
Explicação
A governança de identidade equilibra a produtividade de seus funcionários e
a segurança da organização.

Ele garante que os usuários obtenham o acesso de que precisam para serem
produtivos no trabalho e, ao mesmo tempo, aplicar controles para quem tem
acesso e por quanto tempo eles mantêm esse acesso.

Esse equilíbrio entre produtividade e segurança é ativado por três de seus

recursos:

· O gerenciamento de direitos garante que novos funcionários (ou

funcionários existentes que ingressem em uma nova equipe de projeto ou
usuários externos) obtenham o acesso de que precisam para realizar seu
trabalho.
Por exemplo, um novo funcionário do departamento de marketing pode
precisar de acesso a grupos de marketing, um site de equipe do SharePoint e
acesso ao aplicativo Marketo para realizar seu trabalho com eficiência. O
gerenciamento de direitos define uma coleção de todos os recursos
relacionados que os funcionários de marketing precisarão, para que possam
solicitá-los de uma só vez [Produtividade].
· As revisões de acesso garantem que os direitos de acesso do usuário sejam
revisados regularmente. À medida que os funcionários assumem
responsabilidades adicionais, novos acessos devem ser adicionados e os antigos
removidos [Produtividade]. Se as revisões de acesso não forem feitas, elas
podem acumular direitos de acesso abundantes e desnecessários ao longo do
tempo. Isso representa um risco de segurança significativo [Segurança].

· O gerenciamento de identidades privilegiadas gerencia direitos de acesso a

recursos importantes em sua organização usando vários controles de acesso
como JIT, auditoria, notificações, etc., [Segurança]

O acesso condicional não é um recurso de governança de identidade.

Link de referência:
46 -Sua organização possui Unidades de Negócios em diferentes partes da
Europa e América do Norte. Para cumprir os processos de conformidade da sua
organização, você precisa criar avaliações de acordo com os regulamentos
locais para cada uma de suas Unidades de Negócios (UN).

Qual dos seguintes ajudaria?

Explicação
Você cria avaliações para cumprir um regulamento/lei/padrão específico. Por
exemplo, para cumprir os requisitos regulamentares do GDPR da UE, você cria
uma avaliação.

As avaliações contêm vários controles (requisitos de um regulamento). Você

toma medidas para atender aos controles relevantes para atender aos requisitos
de um regulamento.

Você também pode agrupar suas avaliações se quiser demarcar seus projetos

de conformidade. Por exemplo, se cada UN da sua organização estiver em uma
região diferente, você poderá criar um grupo de avaliação e atribuir as
avaliações relacionadas que atendam aos requisitos regulatórios locais para
cada UN.

A opção Criar grupos e adicionar avaliações a cada grupo é a resposta

correta.

Todas as outras opções não estão relacionadas/incorretas sobre a criação de

avaliações.

47 - De acordo com o modelo de responsabilidade compartilhada, quem é

responsável por proteger os endpoints da sua organização?

Explicação
Endpoint refere-se a qualquer dispositivo em uma rede, como laptop, desktop,
celulares, servidores, etc.

48- Como administrador de TI, você precisa inscrever todos os aplicativos de

nuvem arriscados usados por seus funcionários. Esses aplicativos representam
uma ameaça significativa para sua organização, então você gostaria de proibir o
acesso deles. Você decide usar o Microsoft Cloud Discovery.

Isso vai resolver o propósito?

Explicação
Sim, com o Microsoft Cloud Discovery, um recurso do Microsoft Defender for Cloud
Apps, você pode detectar todos os aplicativos usados por seus funcionários, juntamente
com suas pontuações de risco.

49 - Você cria e aplica uma política de retenção no Compliance Manager para:

· Proteger sua organização contra riscos em caso de litígio.

· Para aumentar sua postura de conformidade.

Essa ação de melhoria existe em 3 grupos de controle e vale 27 pontos. Após a

implementação bem-sucedida, você recebe 81 pontos.

É possível

No Compliance Manager, existem dois tipos de ações:

· Ações técnicas (você as implementa interagindo com a tecnologia. Por

exemplo, definindo uma configuração no Microsoft 365)

· Ações não técnicas (Você não interage com a tecnologia para sua
implementação)

O primeiro desafio é reconhecer que criar e aplicar uma política de retenção é

uma ação técnica.

Se você implementar essa ação técnica uma vez, ela atualizará o status de
implementação em todos os grupos. Como você realiza esta ação apenas uma
vez, você receberá 27 pontos e não 81 pontos.

A resposta correta é Não.

Já para ações não técnicas (seja documental ou operacional), como você

implementa a ação separadamente em cada grupo, você recebe pontos por
cada implementação. Se parafrasearmos a pergunta para uma ação não técnica,
a resposta correta seria Sim (81 pontos).

Abaixo estão alguns dos exemplos de ações técnicas:

· Use o IRM para proteger documentos e armazenamento online (Azure

Information Protection)

· Exigir que dispositivos móveis usem criptografia (Exchange Online Protection)

· Criar regras de fluxo de emails para criptografar mensagens (Azure Information
Protection)

Abaixo estão alguns dos exemplos de ações não técnicas:

· Fornecer treinamento sobre violação de dados

· Registrar divulgações de PII a terceiros

50 - Um recurso do Microsoft Defender para Endpoint que ajuda a reduzir o

ataque de superfície de seus dispositivos é?
Explicação
O Microsoft Defender for Endpoint oferece vários recursos que podem ser
importantes do ponto de vista do exame. O vídeo abaixo resume todos eles.

Link de
referência: https://www.microsoft.com/pt-br/videoplayer/embed/RE4wDob?
postJsllMsg=true

A proteção de rede reduz o ataque de superfície de seus dispositivos contra

ataques externos. Ele faz isso impedindo que os funcionários acessem sites de
phishing na Internet. A proteção de rede é a escolha correta.

Link de referência: https://docs.microsoft.com/pt-br/microsoft-365/security/
defender-endpoint/network-protection?view=o365-worldwide

A Busca Avançada ajuda você a escrever consultas que caçam ameaças de

forma proativa. Está incorreto.

Link de referência: https://docs.microsoft.com/pt-br/microsoft-365/security/
defender-endpoint/advanced-hunting-overview?view=o365-worldwide

Sua equipe de segurança não tem tempo para investigar todos os alertas dos
endpoints. A investigação automatizada executa vários manuais baseados em IA
para examinar e lidar com as ameaças. Opção A investigação
automatizada também é uma escolha incorreta.

Link de referência: https://docs.microsoft.com/pt-br/microsoft-365/security/
defender-endpoint/automated-investigations?view=o365-worldwide

O Microsoft Defender for Antivirus é o componente de proteção de última

geração do Defender for Endpoint. Opção A proteção de última geração está
incorreta.
Link de referência: https://docs.microsoft.com/pt-br/microsoft-365/security/
defender-endpoint/microsoft-defender-antivirus-windows?view=o365-
worldwide
51 - Sua organização usa o Microsoft Teams para se comunicar com
fornecedores. Quem é responsável pela configuração do DNS?
Explicação
Algumas coisas para saber:

1. O Microsoft Teams é um produto SaaS.

2. DNS, juntamente com VNet, balanceamento de carga e gateways são

controles de rede.3. Para um produto SaaS, o Cloud Solutions Provider
(Microsoft) gerencia os controles de rede (de acordo com o modelo de
responsabilidade compartilhada). Juntamente com o Teams, outros produtos do
Microsoft 365, o Dynamics CRM Online também são produtos SaaS.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
security-concepts-methodologies/3-describe-shared-responsibility-model
Então, 'Microsoft' é a resposta correta.

52 - Sua organização usa o Microsoft Teams para se comunicar com

fornecedores. Quem é responsável pela configuração do DNS?

Microsoft

53 - Ao fazer logon no centro de conformidade do Microsoft 365 como

administrador de dados de conformidade, qual das seguintes áreas de solução
de conformidade você veria no catálogo de soluções (selecione três opções)?

Explicação
O catálogo de soluções do Microsoft 365 ajuda você a descobrir soluções de
conformidade e gerenciamento de risco disponíveis para sua organização.

O catálogo de soluções está organizado em três áreas de solução de

conformidade. Cada área de solução contém informações sobre várias soluções
de conformidade.

Como é evidente, o gerenciamento de risco do interno, a proteção e

governança de informações e a descoberta e resposta são as únicas três áreas
de solução de conformidade (categorização de alto nível). São as respostas
corretas para esta pergunta.

A prevenção de perda de dados é uma solução de conformidade dentro da

área de soluções de proteção e governança da informação. É uma resposta
incorreta.

A descoberta eletrônica avançada é uma solução de conformidade dentro da

área de solução de descoberta e resposta. É uma resposta incorreta.

E a conformidade de comunicação é uma solução de conformidade dentro da

área de solução de gerenciamento de risco Insider. Também é uma resposta
incorreta.

Por fim, o gerenciador de dados de conformidade de função não faz

diferença. Todas as três funções (administrador global, administrador de
conformidade, administrador de dados de conformidade) obtêm a mesma
experiência de usuário ao acessar o Microsoft Compliance Center.

Link de
referência: https://docs.microsoft.com/pt-br/microsoft-365/compliance/
microsoft-365-solution-catalog?view=o365-worldwide
https://docs.microsoft.com/pt-br/learn/modules/describe-compliance-
management-capabilities-microsoft/3-describe-compliance-center
55- Você gerencia usuários que acessam recursos na nuvem e nos ambientes
locais (cenário híbrido). Como administrador, você permite que eles redefinam
suas senhas.

Qual é a edição mínima do Azure Active Directory necessária para garantir que
essas senhas atualizadas sejam gravadas nos Serviços de Domínio Active
Directory locais?

Explicação
O cenário fala sobre usuários redefinindo suas senhas (redefinição de senha de
autoatendimento) [SSPR].

Com a edição gratuita do Azure AD, você pode configurar o SSPR apenas para a
alteração de senha, não para a redefinição de senha para usuários de nuvem.

Como os usuários precisam redefinir suas senhas e write-back para o AD local,

precisamos do Azure AD Premium P1 ou P2. P1 é uma edição inferior a P2.
Portanto, o Azure Active Directory Premium P1 e P2 é a escolha correta.
56 - Para proteger suas contas do Azure AD com funções privilegiadas, habilite
a MFA para 7 de 10 contas privilegiadas.Com quantos pontos sua ação contribui
para o Microsoft Secure Score se a pontuação máxima para essa ação de
melhoria for 10?
Explicação
Cada ação de melhoria que contribui para o Microsoft Secure Score é pontuada
em um modo binário ou percentual.

Por exemplo, para implementar ações de melhoria como a execução em bloco

de scripts potencialmente ofuscados, você obtém 100% dos pontos alocados
(binários).

Nesta pergunta, para a ação de melhoria Exigir MFA para funções privilegiadas
do Azure AD, os pontos são fornecidos como uma porcentagem da
configuração total.

Portanto, (7 contas ativadas/total de 10 contas) * Pontuação máxima (10) = 7

57 - Qual das seguintes ferramentas ajuda você a fortalecer a postura de

segurança na nuvem da sua organização?

Explicação
Primeiro, vamos entender o que é uma postura de segurança.

Sua organização tem muitos ativos, cada um suscetível a diferentes tipos de ataques. Os
cibercriminosos têm milhões de maneiras de violar a segurança da sua empresa.

A única maneira de se proteger contra uma infinidade de ataques é manter uma boa
postura de segurança. Em palavras simples, a postura de segurança refere-se a:

· Status de segurança de todos os seus ativos, como dispositivos, identidades, redes,

infraestrutura, etc.

· Quão bem você pode proteger, detectar e responder a ameaças cibernéticas.

O Microsoft Defender for Cloud fornece recomendações que, ao serem corrigidas,

fortalecem a postura de segurança da sua organização.

O Microsoft Defender para Nuvem é a resposta correta.

58 - Sua organização adquiriu a licença P1 do Azure Active Directory Premium
para seus usuários. Você gostaria que os usuários realizassem autenticação
adicional com MFA para todas as entradas identificadas como arriscadas. É
possível?
Explicação
Para conseguir isso, precisamos integrar os sinais do Azure AD Identity
Protection (fornece informações sobre detecções de risco, como entradas
arriscadas) com o acesso condicional do Azure AD para criar políticas que
exigem que os usuários executem a autenticação multifator.

A Proteção de Identidade do Azure AD requer uma licença do Azure AD

Premium P2.

E o Acesso Condicional do Azure AD requer uma licença P1 do Azure AD

Premium.

Como a organização adquiriu apenas uma licença Premium P1, ela não poderá
usar detecções de risco para entradas de usuários para acionar o Azure MFA

59 - Qual das etapas a seguir precede a pesquisa de conteúdo no fluxo de

trabalho de descoberta eletrônica principal no Microsoft 365?
Explicação
O fluxo de trabalho principal do eDiscovery no Microsoft 365 consiste nas seguintes
etapas (em ordem):

· Criação de retenções de descoberta eletrônica (para preservar o conteúdo relevante

para um caso para que ninguém possa excluí-lo)

· Pesquisar conteúdo (relacionado a uma investigação)

· Exporte e baixe os resultados da pesquisa (para que pessoas de fora da equipe de

investigação possam revisar)

Depois de criar e abrir um caso no centro de conformidade do Microsoft 365, você pode
exibir as etapas de fluxo de trabalho acima como três itens de menu diferentes.

Portanto, antes de criar a pesquisa de conteúdo, você criaria retenções de descoberta

eletrônica. Opção Criar retenções de eDiscovery é a resposta correta.
60 - Qual dos seguintes rótulos você usaria para marcar o conteúdo como um
registro?
Explicação
Você pode usar rótulos de retenção para:

· Crie um rótulo padrão (na seção Governança de informações)

· Crie um rótulo que marque o conteúdo como registros ou registros regulatórios (na
seção de gerenciamento de registros).
Os rótulos de retenção são usados para marcar o conteúdo como registros. Rótulos de
retenção de opção é a resposta correta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
information-protection-governance-capabilities-microsoft-365/7-describe-records-
management

Os rótulos de registro de opção estão incorretos, pois não há nada parecido no centro
de conformidade do Microsoft 365.
Os rótulos de sensibilidade da opção estão incorretos porque protegem o conteúdo
confidencial à medida que se movem dentro/fora da organização. Eles não ajudam no
gerenciamento de registros.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
information-protection-governance-capabilities-microsoft-365/4-describe-sensitivity-
labels-policies

Os rótulos da opção AIP (Azure Information Protection) estão incorretos, pois são

semelhantes aos rótulos de confidencialidade (eles protegem os dados no Azure e no
ambiente local) no Azure. Com o anúncio da experiência de rotulagem unificada, você
gerencia os rótulos AIP no centro de conformidade e segurança do Office 365.
61- Qual das fases a seguir será a primeira etapa em seu ciclo de vida de
adoção do Azure?
Explicação
O ciclo de vida de adoção da cloud é composto pelas seguintes fases:
· Estratégia

· Plano

· Preparar

· Migrar

· Inovar

· Governar

· Gerenciar

A Estratégia será a primeira fase do ciclo de vida de adoção do Azure. Na fase

de estratégia, você:

· Defina suas motivações

· Documentar resultados de negócios

· Desenvolver um caso de negócios

· Escolha seu primeiro projeto

Estratégia é a resposta correta.

62- Criptografia é o processo de mudar/alterar uma mensagem, então um
hacker só vê lixo.

Com a criptografia simétrica, o remetente/recetor usa cópias da mesma chave

para criptografar/descriptografar dados. Mas para acesso seguro pela Internet,
a distribuição de chaves é um problema, pois usuários mal-intencionados
podem obter seu acesso. A criptografia simétrica é mais adequada para
criptografar dados em repouso.

63 - Quais das seguintes afirmações são VERDADEIRAS sobre rótulos de

confidencialidade e rótulos de retenção?
rótulos de sensibilidade/rótulos de retenção definem as configurações de
proteção/retenção, respectivamente. Para colocá-los em uso, você os publica por meio
de políticas de rótulo de sensibilidade/retenção.

Mas as políticas de rótulo de sensibilidade e retenção funcionam de maneira totalmente

diferente. Você publica rótulos de confidencialidade para usuários e grupos.

Considerando que você publica rótulos de retenção em diferentes locais no Microsoft

365, como OneDrive, SharePoint, grupos do Microsoft 365, Exchange etc.

Observação: você cria e publica rótulos de retenção na seção Governança de

informações.

Rótulos de retenção de opção são publicados em locais como SharePoint e OneDrive,

rótulos de confidencialidade são publicados em usuários/grupos é a resposta correta.

63- Você pode aplicar mais de um rótulo de confidencialidade a um documento

do Microsoft Word armazenado no SharePoint Online?
Explicação
Cada rótulo de confidencialidade define configurações exclusivas de
criptografia e marcação de conteúdo. Portanto, você pode aplicar apenas um
rótulo de confidencialidade a qualquer momento a qualquer documento ou
email no Microsoft 365. A resposta correta é Não.

64 -Como parte do seu trabalho, você precisa visualizar uma situação atual dos
documentos classificados digitalizados da sua organização em locais como
SharePoint e OneDrive. Seu administrador adicionou você apenas ao grupo de
funções Content Explorer Content Viewer.

Você pode acessar as informações confidenciais?

Explicação
Você pode visualizar o conteúdo das informações confidenciais da sua organização na
guia do explorador de conteúdo na seção de classificação de dados.

Mas, como o explorador de conteúdo armazena informações classificadas, o acesso é

restrito. Mesmo um administrador global não pode visualizar o conteúdo
confidencial. Para acessar as informações confidenciais, você precisa ser adicionado
aos dois grupos de funções a seguir:

· Visualizador de lista do Content Explorer (só pode visualizar o item e sua localização,
não o conteúdo)

· Content Explorer Content Viewer (pode visualizar as informações confidenciais em

texto simples)

Se você não for membro de nenhum dos dois grupos de função ou adicionado apenas ao
grupo de função Content Explorer Content Viewer, você receberá esta mensagem. Você
não pode nem navegar pela hierarquia de documentos.

Se você for um membro do grupo de funções Visualizador de Lista do Explorador de

Conteúdo, mas não do grupo de funções Visualizador de Conteúdo do Explorador de
Conteúdo, você receberá esta mensagem. Você pode navegar na hierarquia do
documento (graças ao Content Explorer List Viewer), mas não pode visualizar o
conteúdo.

Informações adicionais: você pode adicionar usuários aos dois grupos de funções no
portal de segurança e conformidade do Office 365

67- Qual dos seguintes serviços da Microsoft oferece recursos de XDR

(Extended Detection and Response) para mensagens de email?

Escolha a melhor opção.

Explicação
A Microsoft oferece suas tecnologias XDR sob a marca Microsoft Defender. O
Microsoft Defender é oferecido em 2 produtos diferentes:
· Microsoft 365 Defender (para ambientes de usuário final)
· Azure Defender (para nuvem e infraestrutura híbrida)

Link de
referência: https://www.microsoft.com/security/blog/2020/09/22/microsoft-
unified-siem-xdr-modernize-security-operations/

O Microsoft 365 Defender é um conjunto unificado de defesa empresarial que

inclui:

· Microsoft Defender para Endpoint

· Microsoft Defender para Office 365 (para documentos e mensagens de
email)

· Microsoft Defender para Identidade

· Microsoft Defender para aplicativos de nuvem

Portanto, a resposta correta para essa pergunta é Microsoft 365 Defender. Mas
uma resposta mais específica será o Microsoft Defender para Office 365.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
threat-protection-with-microsoft-365-defender/2-describe-services

Embora o Azure Defender ofereça recursos XDR, é uma escolha incorreta, pois

não protege as mensagens de email.
O Azure Sentinel é uma solução SIEM/SOAR nativa da nuvem. É uma escolha
incorreta.

Link de referência: https://docs.microsoft.com/en-us/azure/sentinel/overview

O Microsoft Defender for Cloud Apps, parte do Microsoft 365 Defender,

protege seus aplicativos de nuvem. Não mensagens de e-mail.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
threat-protection-with-microsoft-365-defender/2-describe-services
68- Qual das seguintes declarações sobre o gerenciamento de identidades
externas no Azure AD é VERDADEIRA?
A pergunta está relacionada a duas identidades externas do Azure AD:

· B2B (para colaboração com fornecedores/fornecedores/sócios)

· B2C (gestão de identidade para clientes)

Normalmente, este é o fluxo de trabalho para adicionar usuários externos

(fornecedores/parceiros/fornecedores):

1. Adicione/Gerencie-os no mesmo diretório que os funcionários.

2. Adicione-os como "Novo usuário convidado".

3. Uma vez criados, você pode diferenciá-los de outros funcionários pelo tipo de
usuário (Convidado).

A partir da explicação acima, fica evidente que

fornecedores/sócios/fornecedores são gerenciados no mesmo diretório que
funcionários e convidados.

Assim:

· A opção Você administra fornecedores no mesmo diretório que funcionários

é a escolha correta.

· A opção Você administra fornecedores em um diretório diferente como

funcionários é uma escolha incorreta.

· A opção Você administra parceiros em um diretório diferente como

funcionários é uma escolha incorreta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
basic-services-identity-types/5-describe-external-identities#b2b-collaboration

Mas os clientes são gerenciados no diretório Azure AD B2C, separadamente

dos funcionários. Na verdade, você precisa criar um locatário separado (Azure
AD B2C) para gerenciar os clientes da sua organização.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
basic-services-identity-types/5-describe-external-identities#b2c-access-
management

Portanto, a opção Clientes são gerenciados no mesmo diretório que

funcionários está incorreta.
69 - Qual das seguintes ferramentas ajuda você a conhecer os dados da sua
organização?
Explicação
Os rótulos de sensibilidade da está incorreto porque protegem o conteúdo/site
por criptografia, marcação de conteúdo etc.
Link de
referência: https://docs.microsoft.com/pt-br/microsoft-365/compliance/
sensitivity-labels?view=o365-worldwide#what-sensitivity-labels-can-do
O rótulo de retenção está incorreto porque ele gerencia as informações
garantindo que o conteúdo seja mantido apenas pela duração necessária. Os
rótulos de retenção controlam os dados.
Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
information-protection-governance-capabilities-microsoft-365/6-describe-
retention-polices-retention-labels

O gerenciamento de registros de opção também é incorreto porque eles

gerenciam o conteúdo como registros ou registros regulatórios (eles impõem
restrições adicionais aos dados para demonstrar a conformidade com os
regulamentos). Eles também controlam os dados.
Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
information-protection-governance-capabilities-microsoft-365/7-describe-
records-management

Classificadores treináveis usam IA e aprendizado de máquina para rotular e

classificar os dados da sua organização. Como eles ajudam a conhecer os
dados da sua organização, o classificador treinável de opção é a resposta
correta.
Link de referência: https://docs.microsoft.com/pt-br/learn/modules/describe-
information-protection-governance-capabilities-microsoft-365/3-describe-data-
classification-capabilities-compliance-center#trainable-classifiers
https://docs.microsoft.com/pt-br/learn/modules/describe-information-
protection-governance-capabilities-microsoft-365/2-know-your-data-protect-
your-data-govern-your-data
70 - Qual das opções a seguir ajuda você a colaborar com seus fornecedores
nas atividades da cadeia de suprimentos sem a sobrecarga de gerenciamento
da infraestrutura de autenticação?
Explicação
A questão está relacionada ao gerenciamento de identidades externas do Azure
AD para parceiros/fornecedores/fornecedores.

O recurso de colaboração Azure AD B2B (business-to-business) permite

convidar fornecedores/parceiros/fornecedores como usuários convidados em
seu diretório. Depois que eles aceitarem seu convite, você poderá gerenciá-los
como seus funcionários.

71- Você pode implementar políticas de acesso condicional para conceder

acesso apenas aos dispositivos híbridos ingressados no Azure AD?
Explicação
Uma máquina híbrida ingressada no Azure AD é ingressada no Active Directory local e
no Azure AD.
Sim. Você pode criar políticas de acesso condicional para conceder acesso apenas aos
dispositivos híbridos ingressados no Azure AD.

72- Sua organização permite que seus funcionários usem seus dispositivos
pessoais para acessar aplicativos organizacionais. Qual das opções a seguir
você usaria para integrar os dispositivos no Azure AD?

Explicação
Este é um cenário típico de BYOD (Bring-Your-Own-Devices).

Aqui, os funcionários trazem seus dispositivos pessoais como laptops

(Windows 10) ou smartphones (iOS) para o local de trabalho. Eles entram no
dispositivo com sua conta pessoal da Microsoft. Mas eles acessam recursos
organizacionais com a ajuda de uma conta do Azure AD.

Esses dispositivos são registrados no Azure AD, não associados ao Azure

AD. A opção de dispositivos registrados do Azure AD é a escolha correta.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
basic-services-identity-types/4-describe-identity-types#device

Os dispositivos ingressados no Azure AD e os dispositivos híbridos

ingressados no Azure AD são de propriedade de uma organização, não de
funcionários. Ambas as opções estão incorretas.

Link de referência: https://docs.microsoft.com/pt-br/learn/modules/explore-
basic-services-identity-types/4-describe-identity-types#device

O Intune integra-se perfeitamente ao Azure AD. Você pode usar o Intune com
qualquer um dos dispositivos ingressados/registrados ou híbridos do Azure AD
para habilitar o acesso aos seus recursos.

Por exemplo, você pode exigir (com a política de acesso condicional do Azure
AD) que os dispositivos móveis sejam compatíveis com os padrões
organizacionais (definidos no Intune) para permitir o acesso a recursos como o
SharePoint.

Link de referência: https://docs.microsoft.com/pt-br/azure/active-directory/
devices/concept-azure-ad-register#scenarios
Somente dispositivos ingressados no Azure AD/registrados ou híbridos no
Azure AD podem integrar um dispositivo no Azure AD. Quando um dispositivo
estiver no Azure AD, você usará ferramentas de MDM como o Intune para
gerenciá-los.

O Intune é uma escolha incorreta.

73- Onde você pode habilitar o gerenciamento de acesso privilegiado?

Explicação
Você habilita o gerenciamento de acesso privilegiado no centro de
administração do Microsoft 365 (acessado em https://admin.microsoft.com/).
Abaixo está uma representação pictórica passo a passo:
A opção Centro de administração do Microsoft 365 é a resposta correta.
74 - Você pode usar SSPR (redefinição de senha de autoatendimento) com o
autenticador da Microsoft?

Sim. Embora você não veja uma opção explícita para habilitar o Microsoft
Authenticator no SSPR, o código/notificação do aplicativo móvel se refere ao
aplicativo Authenticator.

Primeiro, seu administrador habilita qualquer um dos métodos de autenticação

de aplicativo móvel para SSPR.

75-