Escolar Documentos
Profissional Documentos
Cultura Documentos
Resultados
Pergunta 1: Incorreto
Qual das opções a seguir é um recurso do Microsoft Information Protection (MIP)?
(Incorreto)
(Correto)
Explicação
O gerenciamento centralizado de contas de usuário do Active Directory está incorreto, pois se refere
a um recurso diferente, o Active Directory.
A classificação e rotulagem automáticas de dados confidenciais estão corretas, pois o MIP fornece
classificação e rotulagem automáticas de dados confidenciais, ajudando a protegê-los contra acesso
não autorizado ou uso indevido.
O backup e a recuperação de dados no SharePoint Online estão incorretos, pois o MIP não fornece
backup e recuperação de dados no SharePoint Online, que são cobertos por outros serviços.
Referência:
https://docs.microsoft.com/en-us/microsoft-365/compliance/information-protection?view=o365-
worldwide
Pergunta 2:
Ignorado
Qual é a finalidade dos pontos de extremidade privados do Azure?
•
Para fornecer acesso aos serviços do Azure pela Internet sem quaisquer restrições
(Correto)
Para fornecer acesso aos serviços do Azure localmente sem quaisquer restrições
Explicação
A resposta correta é: "Para fornecer acesso seguro e privado aos serviços do Azure em um ponto de
extremidade privado em sua rede virtual". Azure Private Endpoints é um recurso que permite acessar
os serviços do Azure de forma privada por meio de uma rede virtual. Ao usar um ponto de
extremidade privado, o tráfego entre sua rede virtual e o serviço do Azure permanece na rede da
Microsoft, fornecendo uma conexão segura e privada.
Para obter mais informações sobre pontos de extremidade privados do Azure, consulte a
documentação do Azure: https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-
overview
Pergunta 3:
Ignorado
Sua organização está usando a assinatura do Microsoft 365 E5 para colaboração e comunicação. No
entanto, a empresa identifica informações de saúde protegidas (PHI) nos documentos e
comunicações armazenados e você precisa recomendar uma solução para evitar que as PHI sejam
compartilhadas fora da organização. Qual opção você deve recomendar?
(Correto)
•
Configurar políticas de rótulo de confidencialidade para Microsoft 365 para proteger o
PHI
As políticas de descoberta eletrônica são projetadas para pesquisar e preservar dados, mas não
impedem necessariamente o compartilhamento fora da organização. Portanto, esta opção está
incorreta.
A Proteção de Informações do Azure (AIP) pode classificar e proteger os dados PHI, mas não
necessariamente impede o compartilhamento fora da organização. Portanto, esta opção está
incorreta.
Referência:
https://learn.microsoft.com/en-us/microsoft-365/compliance/dlp-create-deploy-policy?view=o365-
worldwide
Pergunta 4:
Ignorado
Você tem um banco de dados SQL do Azure que contém dados confidenciais do cliente. Você precisa
garantir que os dados sejam protegidos em repouso e em trânsito.
Solução: use o Firewall do Azure para criar um limite de rede seguro e habilitar a criptografia
SSL/TLS para conexões de cliente
No
(Correto)
Sim
Explicação
Usar o Firewall do Azure para criar um limite de rede seguro e habilitar a criptografia SSL/TLS para
conexões de cliente também é incorreto porque, embora forneça proteção para dados em trânsito,
não atende à necessidade de criptografia de dados em repouso.
(Correto)
Azure AD Privileged Identity Management é um recurso que fornece acesso just-in-time e fluxos de
trabalho de aprovação para funções privilegiadas no Azure AD e outros serviços do Azure. O Acesso
Condicional do Azure AD é um recurso que permite impor políticas de acesso com base em
condições como localização do usuário, integridade do dispositivo e nível de risco.
A proteção de identidade do Azure AD é um recurso que ajuda a identificar e mitigar possíveis riscos
baseados em identidade em sua organização.
Você pode aprender mais sobre as revisões do Azure AD Access aqui: https://docs.microsoft.com/en-
us/azure/active-directory/governance/access-reviews-overview .
Pergunta 6:
Ignorado
Qual ferramenta ou recurso do Azure permite atribuir rótulos de confidencialidade aos seus dados e
aplicar políticas para protegê-los com base nesses rótulos?
•
(Correto)
Explicação
A Proteção de Informações do Azure é uma ferramenta ou recurso que permite atribuir rótulos de
confidencialidade aos seus dados e aplicar políticas para protegê-los com base nesses rótulos. Você
pode criar rótulos que classificam os dados de acordo com seu nível de confidencialidade, como
"confidencial" ou "público" e, em seguida, aplicar políticas que controlam quem pode acessar,
modificar ou compartilhar esses dados.
O Azure Data Factory é uma ferramenta ou recurso que permite criar, agendar e orquestrar
integração de dados e pipelines de processamento.
O Catálogo de Dados do Azure é uma ferramenta ou recurso que serve como um sistema de registro
e descoberta para fontes de dados empresariais.
Azure Stream Analytics é uma ferramenta ou recurso que permite analisar dados de várias fontes em
tempo real.
Pergunta 7:
Ignorado
Uma empresa chamada XYZ migrou seu ambiente local para o Microsoft Azure. Eles têm um locatário
do Azure Active Directory, uma assinatura do Azure, várias redes virtuais, um balanceador de carga
do Azure e 30 máquinas virtuais configuradas como servidores de aplicativos. Eles também
contrataram uma empresa chamada ABC para o desenvolvimento de aplicativos. A ABC tem um
locatário do Azure AD e implementou um cluster Azure Kubernetes Service (AKS). A ABC
desenvolverá e manterá aplicativos no ambiente Azure. Os desenvolvedores serão adicionados a um
grupo de segurança chamado ABC Developers no locatário XYZ Azure AD que será atribuído a
funções na assinatura XYZ. O grupo ABC Developers recebe a função de proprietário do cluster AKS.
Ambiente existente
• Uma empresa chamada ABC foi contratada para desenvolver e manter aplicativos para XYZ.
• Um locatário do Azure AD chamado abc.onmicrosoft.com
• Um cluster AKS chamado AKS2 que será usado pela ABC para implantar e gerenciar
aplicativos.
• O Defender for Cloud está configurado para avaliar todos os recursos em Sub1 para
conformidade com o padrão PCI DSS.
• Atualmente, os recursos que não são compatíveis com o padrão PCI DSS são corrigidos
manualmente.
• O Qualys é usado como a ferramenta de avaliação de vulnerabilidade padrão para servidores.
• A pontuação segura no Defender for Cloud mostra que todas as máquinas virtuais geram a
seguinte recomendação: As máquinas devem ter uma solução de avaliação de vulnerabilidade.
• Todas as máquinas virtuais devem ser compatíveis com o Defender for Cloud.
Requisitos - implantação de aplicativos AKS
• A XYZ planeja implantar um novo aplicativo no cluster AKS chamado AKS1. O aplicativo usará
a autenticação do Azure Active Directory (Azure AD).
• O aplicativo será implantado no namespace padrão.
• O aplicativo só deve ser acessível a partir de redes virtuais na mesma região que AKS1.
• O aplicativo deve usar o Azure Key Vault para armazenar todos os segredos.
• Todos os aplicativos acessíveis pela Internet devem impedir conexões originadas na China.
• Somente membros de um grupo chamado SecurityAdmins devem ter permissão para
configurar grupos de segurança de rede (NSGs) e instâncias do Firewall do Azure, WAF e Front
Door em Sub1.
• Os administradores devem se conectar a um host seguro para executar qualquer
administração remota das máquinas virtuais. O host seguro deve ser provisionado a partir de
uma imagem personalizada do sistema operacional.
• XYZ deseja corrigir automaticamente as máquinas virtuais em Sub1 para serem compatíveis
com o padrão PCI DSS. As máquinas virtuais no TestRG devem ser excluídas da avaliação de
conformidade.
Pergunta 4
O que deve ser feito para corrigir automaticamente as máquinas virtuais em Sub1 para serem
compatíveis com o padrão PCI DSS?
Crie uma Política do Azure que corrija automaticamente as máquinas virtuais não
compatíveis.
Use o Azure Advisor para corrigir automaticamente máquinas virtuais não compatíveis.
Use o Microsoft Defender for Cloud para corrigir automaticamente máquinas virtuais
não compatíveis.
(Correto)
Outras opções não fornecem uma solução específica para automatizar a correção de máquinas
virtuais não compatíveis.
Mais informações:
https://learn.microsoft.com/en-us/azure/architecture/framework/security/monitor-remediate#key-
points
Pergunta 8:
Ignorado
Sua organização migrou recentemente para o Azure e você precisa garantir que seus recursos de
nuvem estejam devidamente protegidos contra ataques. Você decide usar o Microsoft Defender for
Cloud para monitorar e proteger seus recursos do Azure. Qual das opções a seguir NÃO é um recurso
do Microsoft Defender for Cloud?
•
Integração com o Azure Security Center para gerenciamento de segurança unificado
(Correto)
Explicação
Explicação: o Microsoft Defender for Cloud é uma solução de segurança nativa da nuvem que fornece
monitoramento em tempo real dos recursos do Azure para ameaças de segurança e oferece detecção
automática e bloqueio de atividades maliciosas. Ele também se integra à Central de Segurança do
Azure para gerenciamento de segurança unificado. No entanto, o gerenciamento automatizado de
patches para recursos do Azure não é um recurso do Microsoft Defender for Cloud.
Você pode aprender mais sobre o Microsoft Defender for Cloud aqui: https://docs.microsoft.com/en-
us/microsoft-365/security/defender-endpoint/microsoft-defender-for-cloud .
Pergunta 9:
Ignorado
Qual das opções a seguir é um método recomendado para impor políticas de autenticação no Azure
AD?
(Correto)
Pergunta 10:
Ignorado
Qual dos seguintes serviços do Azure fornece proteção contra vulnerabilidades comuns de aplicativos
Web, como script entre sites (XSS), injeção de SQL e inclusão de arquivo remoto?
(Correto)
O Azure Load Balancer é um gerenciador de tráfego que pode distribuir o tráfego para vários
servidores para melhorar a disponibilidade e dimensionar aplicativos.
Pergunta 11:
Ignorado
Qual é o impacto do uso do TDE em termos de desempenho para o Banco de Dados SQL do Azure?
Melhora o desempenho
Pergunta 12:
Ignorado
Sua empresa tem uma assinatura do Microsoft 365 e usa o Microsoft Defender for Identity. Você é
informado sobre incidentes relacionados a identidades comprometidas. Você precisa recomendar
uma solução para expor várias contas para os invasores explorarem. Quando os invasores tentam
explorar as contas, um alerta deve ser acionado. Qual recurso do Defender for Identity você deve
incluir na recomendação?
Alertas personalizados
(Correto)
Autenticação multifator
Honeytokens são essencialmente contas de usuário ou credenciais falsas criadas para atrair invasores
a usá-los para obter acesso não autorizado. Ao monitorar o uso desses honeytokens, o Defender for
Identity pode detectar e alertar sobre atividades suspeitas que indiquem um ataque. Essa solução é
útil para detectar e prevenir proativamente ataques antes que eles possam causar danos.
Para obter mais informações sobre marcas de entidade Honeytoken e Defender for Identity, consulte
a documentação da Microsoft aqui: https://docs.microsoft.com/en-us/defender-for-
identity/honeytoken-entity-tag-overview
Pergunta 13:
Ignorado
Qual é a finalidade de uma prioridade de regra de segurança em um grupo de segurança de rede
(NSG)?
(Correto)
Documentação: https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#security-
rules
Pergunta 14:
Ignorado
Você tem 10 máquinas virtuais executando aplicativos diferentes em servidores Windows em sua
assinatura do Azure. Você precisa garantir que apenas aplicativos autorizados possam ser executados
nas máquinas virtuais. Qual controle de segurança você deve recomendar?
•
Controles de conformidade do Azure Security Benchmark no Defender for Cloud
(Correto)
As extensões de máquina virtual no Microsoft Defender for Cloud estão incorretas porque fornecem
recursos de segurança adicionais, como proteção antivírus e detecção de ameaças, mas não oferecem
a capacidade de controlar quais aplicativos podem ser executados.
A inteligência de ameaças do Microsoft Sentinel está incorreta porque fornece uma visão centralizada
de ameaças e alertas de segurança, mas não oferece a capacidade de controlar quais aplicativos
podem ser executados.
Os controles de conformidade do Azure Security Benchmark no Defender for Cloud estão incorretos
porque fornecem recomendações para melhorar a postura de segurança, mas não oferecem a
capacidade de controlar quais aplicativos podem ser executados
Referência:
https://learn.microsoft.com/en-us/mem/configmgr/protect/deploy-use/use-device-guard-with-
configuration-manager
Pergunta 15:
Ignorado
Qual das seguintes plataformas pode ser gerenciada usando o Microsoft Intune?
Windows 11
iOS
Todos os mencionados
(Correto)
Android
Explicação
O Microsoft Intune pode ser usado para gerenciar dispositivos executando iOS, Android e Windows
10.
Referência:
https://learn.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers
Pergunta 16:
Ignorado
Sua organização implementou o Microsoft Defender for Cloud Apps para proteger seus aplicativos
baseados em nuvem. Qual das opções a seguir é um benefício do uso de políticas de acesso no
Microsoft Defender para aplicativos de nuvem?
(Correto)
Explicação
As políticas de acesso no Microsoft defender para aplicativos de nuvem fornecem uma maneira de
controlar quais usuários e grupos têm acesso a seus aplicativos baseados em nuvem.
Você pode usar políticas de acesso para permitir ou negar acesso a aplicativos com base na
associação de grupo de um usuário, endereço IP ou tipo de dispositivo. Isso ajuda a garantir que
apenas usuários autorizados acessem seus aplicativos.
Embora o Microsoft Defender for Cloud Apps forneça outros recursos, como detectar e responder a
comportamento anômalo do usuário e monitorar e proteger dados confidenciais, esses recursos não
estão relacionados a políticas de acesso.
Você pode saber mais sobre as políticas de acesso no Microsoft Defender para Aplicativos de Nuvem
aqui: https://docs.microsoft.com/en-us/cloud-app-security/access-policies-overview .
Pergunta 17:
Ignorado
Qual é o valor recomendado para a configuração "Permitir Blob Public Access" ao criar uma nova
conta de armazenamento no Azure?
Habilitado
Desabilitado
(Correto)
Acesso anônimo
Explicação
Ao criar uma nova conta de armazenamento no Azure, é recomendável definir a configuração
"Permitir Blob Public Access" como Desabilitado. Essa configuração garante que quaisquer blobs
(arquivos) armazenados na conta de armazenamento não sejam acessíveis publicamente e o acesso
aos blobs só pode ser concedido por meios autorizados, como assinaturas de acesso compartilhado,
políticas de acesso armazenadas ou controle de acesso baseado em função do Azure.
Habilitar o acesso público a blobs pode representar riscos de segurança, pois permite que qualquer
pessoa com a URL do blob acesse o conteúdo.
O acesso anônimo é uma configuração obsoleta que não deve ser usada.
O Azure Active Directory é um serviço que fornece gerenciamento de identidade e acesso para
recursos do Azure, mas não está diretamente relacionado à configuração "Permitir acesso público de
blob".
Aqui está um link para saber mais sobre como proteger o acesso a contas de armazenamento no
Azure: https://docs.microsoft.com/en-us/azure/storage/common/storage-security-guide
Pergunta 18:
Ignorado
A criptografia de dados transparente (TDE) está habilitada por padrão para o Banco de Dados SQL do
Azure?
No
•
Sim
(Correto)
Explicação
Todos os bancos de dados recém-criados no Banco de Dados SQL são criptografados por padrão
usando criptografia de dados transparente gerenciada pelo serviço.
Documentação
https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-tde-
overview?view=azuresql&tabs=azure-portal
Pergunta 19:
Ignorado
Qual serviço do Azure fornece políticas de acesso condicional com base em risco, detecção de risco
de entrada e políticas de risco de usuário para detectar e prevenir ataques baseados em identidade?
Azure AD B2C
Azure AD B2C
(Correto)
Pergunta 20:
Ignorado
Qual das seguintes tarefas pode ser executada usando o Microsoft Purview?
(Correto)
A análise e visualização de dados estão incorretas porque o Microsoft Purview não é basicamente
uma ferramenta de análise e visualização de dados.
A comunicação e o agendamento por e-mail estão incorretos porque o Microsoft Purview não é uma
ferramenta de comunicação e agendamento por e-mail.
Pergunta 21:
Ignorado
Sua organização deseja restringir o acesso a um aplicativo confidencial apenas para usuários que
acessam o aplicativo de um dispositivo confiável. Qual dos seguintes recursos do Azure AD você
usaria para implementar esta política?
(Correto)
Explicação
O Acesso Condicional do Azure AD é um recurso que permite definir políticas de acesso com base em
várias condições, como associação de grupo de usuários, localização, tipo de dispositivo, integridade
do dispositivo e nível de risco. Você pode usar o acesso condicional para exigir autenticação
multifator, bloquear o acesso ou permitir o acesso apenas de dispositivos confiáveis.
As revisões de acesso do Azure AD são um recurso que permite realizar revisões de acesso para
grupos, aplicativos e outros recursos do Azure AD.
O Azure AD Identity Protection ajuda a identificar e mitigar possíveis riscos baseados em identidade
em sua organização.
Pergunta 22:
Ignorado
Você tem um banco de dados SQL do Azure que contém dados confidenciais do cliente. Você precisa
garantir que os dados sejam protegidos em repouso e em trânsito.
Solução: Use Azure Key Vault para gerenciar as chaves de criptografia e habilitar Transparent
Data Encryption (TDE) no banco de dados.
Sim
No
(Correto)
Explicação
O uso do Azure Key Vault para gerenciar as chaves de criptografia e habilitar a criptografia de dados
transparente (TDE) no banco de dados é incorreto porque o TDE criptografa apenas os dados em
repouso e não fornece proteção para dados em trânsito.
Documentação:
• TDE https://learn.microsoft.com/en-us/sql/relational-
databases/security/encryption/transparent-data-encryption?view=sql-server-ver16
Pergunta 23:
Ignorado
Para que serve o controle de acesso baseado em função (RBAC) do Azure?
(Correto)
Pergunta 24:
Ignorado
Qual solução deve ser recomendada para adicionar uma marca d'água a anexos de email contendo
dados confidenciais, usando uma assinatura do Microsoft 365 E5?
(Correto)
•
Segurança de aplicativos em nuvem da Microsoft
Microsoft Intune
O Microsoft Cloud App Security é um agente de segurança de acesso à nuvem que pode ser usado
para detectar e evitar vazamentos de dados, mas não inclui a capacidade de adicionar marcas d'água
a anexos de e-mail.
O Microsoft Intune é uma solução de gerenciamento de dispositivos que pode ajudar a proteger os
dispositivos, mas não fornece nenhum recurso para adicionar marcas d'água a anexos de email.
O Microsoft Information Protection fornece uma solução abrangente para classificação, rotulagem e
proteção de dados, incluindo a capacidade de adicionar marcas d'água a anexos de e-mail contendo
dados confidenciais. Essa solução pode ajudar a evitar vazamento de dados e melhorar a segurança
geral dos dados.
Mais informações:
https://learn.microsoft.com/en-us/microsoft-365/compliance/sensitivity-labels?view=o365-worldwide
Pergunta 25:
Ignorado
Qual serviço do Azure fornece uma solução de gerenciamento de identidade e acesso baseada em
nuvem que se integra a vários aplicativos locais e baseados em nuvem e permite logon único e
autenticação multifator?
(Correto)
•
Azure Key Vault
Explicação
A resposta correta é "Azure Active Directory". O Azure Active Directory (Azure AD) é uma solução de
gerenciamento de identidade e acesso baseada em nuvem que fornece recursos de logon único e
autenticação multifator e se integra a vários aplicativos locais e baseados em nuvem.
Azure Key Vault é um serviço que fornece armazenamento seguro de chaves, segredos e certificados
e permite a automação do gerenciamento de certificados para serviços do Azure.
O Azure Traffic Manager é um balanceador de carga de tráfego baseado em DNS que distribui o
tráfego em vários pontos de extremidade, como diferentes regiões do Azure ou pontos de
extremidade externos.
Para obter mais informações sobre o Azure Active Directory, consulte a documentação do
Azure: https://docs.microsoft.com/en-us/azure/active-directory/
Pergunta 26:
Ignorado
Qual é o serviço do Azure que fornece um repositório seguro para armazenar e gerenciar chaves
criptográficas, certificados e segredos e permite controlar o acesso e as permissões a esses recursos?
(Correto)
O Microsoft Defender for Cloud é um serviço de gerenciamento de segurança unificado que fornece
proteção contra ameaças em cargas de trabalho de nuvem híbrida, ajuda a detectar e responder a
ataques e fornece proteção avançada contra ameaças para seus recursos locais e de nuvem.
Para obter mais informações sobre o Azure Key Vault, consulte a documentação do Azure:
https://learn.microsoft.com/en-us/azure/key-vault/
Pergunta 27:
Ignorado
O que são pontos de integração no MCRA?
(Correto)
Explicação
Os pontos de integração no MCRA referem-se aos pontos onde diferentes tecnologias de segurança
se conectam e interagem. Isso inclui pontos como fontes de dados, análise de segurança, inteligência
de ameaças e resposta a incidentes.
Pergunta 28:
Ignorado
Uma empresa chamada XYZ migrou seu ambiente local para o Microsoft Azure. Eles têm um locatário
do Azure Active Directory, uma assinatura do Azure, várias redes virtuais, um balanceador de carga
do Azure e 30 máquinas virtuais configuradas como servidores de aplicativos. Eles também
contrataram uma empresa chamada ABC para o desenvolvimento de aplicativos. A ABC tem um
locatário do Azure AD e implementou um cluster Azure Kubernetes Service (AKS). A ABC
desenvolverá e manterá aplicativos no ambiente Azure. Os desenvolvedores serão adicionados a um
grupo de segurança chamado ABC Developers no locatário XYZ Azure AD que será atribuído a
funções na assinatura XYZ. O grupo ABC Developers recebe a função de proprietário do cluster AKS.
Ambiente existente
• Uma empresa chamada ABC foi contratada para desenvolver e manter aplicativos para XYZ.
• Um locatário do Azure AD chamado abc.onmicrosoft.com
• Um cluster AKS chamado AKS2 que será usado pela ABC para implantar e gerenciar
aplicativos.
• O Defender for Cloud está configurado para avaliar todos os recursos em Sub1 para
conformidade com o padrão PCI DSS.
• Atualmente, os recursos que não são compatíveis com o padrão PCI DSS são corrigidos
manualmente.
• O Qualys é usado como a ferramenta de avaliação de vulnerabilidade padrão para servidores.
• A pontuação segura no Defender for Cloud mostra que todas as máquinas virtuais geram a
seguinte recomendação: As máquinas devem ter uma solução de avaliação de vulnerabilidade.
• Todas as máquinas virtuais devem ser compatíveis com o Defender for Cloud.
• A XYZ planeja implantar um novo aplicativo no cluster AKS chamado AKS1. O aplicativo usará
a autenticação do Azure Active Directory (Azure AD).
• O aplicativo será implantado no namespace padrão.
• O aplicativo só deve ser acessível a partir de redes virtuais na mesma região que AKS1.
• O aplicativo deve usar o Azure Key Vault para armazenar todos os segredos.
• Todos os aplicativos acessíveis pela Internet devem impedir conexões originadas na China.
• Somente membros de um grupo chamado SecurityAdmins devem ter permissão para
configurar grupos de segurança de rede (NSGs) e instâncias do Firewall do Azure, WAF e Front
Door em Sub1.
• Os administradores devem se conectar a um host seguro para executar qualquer
administração remota das máquinas virtuais. O host seguro deve ser provisionado a partir de
uma imagem personalizada do sistema operacional.
• XYZ deseja corrigir automaticamente as máquinas virtuais em Sub1 para serem compatíveis
com o padrão PCI DSS. As máquinas virtuais no TestRG devem ser excluídas da avaliação de
conformidade.
Questão 2:
O que deve ser feito para garantir que todas as alterações no código do aplicativo sejam verificadas
quanto a vulnerabilidades de segurança, incluindo código do aplicativo ou arquivos de configuração
que contenham segredos em texto não criptografado?
(Correto)
O Microsoft Defender for Cloud e o Microsoft Sentinel também podem ser usados para testes de
segurança, mas não foram projetados especificamente para testes de segurança de aplicativos.
Usar Azure Key Vault para armazenar todos os segredos não é relevante para a verificação de
vulnerabilidades no código do aplicativo.
Pergunta 29:
Ignorado
Qual é a finalidade do agente Log Analytics no Azure?
(Correto)
•
O agente Log Analytics é instalado em cada máquina virtual que você deseja monitorar e envia dados
como métricas de desempenho, logs de eventos e logs personalizados para Azure Monitor.
Embora o Azure forneça outros serviços para gerenciamento e monitoramento de recursos, como
Azure Kubernetes Service (AKS) e Azure Active Directory (AD), esses serviços não estão relacionados
ao agente Log Analytics.
Pergunta 30:
Ignorado
Uma empresa chamada XYZ migrou seu ambiente local para o Microsoft Azure. Eles têm um locatário
do Azure Active Directory, uma assinatura do Azure, várias redes virtuais, um balanceador de carga
do Azure e 30 máquinas virtuais configuradas como servidores de aplicativos. Eles também
contrataram uma empresa chamada ABC para o desenvolvimento de aplicativos. A ABC tem um
locatário do Azure AD e implementou um cluster Azure Kubernetes Service (AKS). A ABC
desenvolverá e manterá aplicativos no ambiente Azure. Os desenvolvedores serão adicionados a um
grupo de segurança chamado ABC Developers no locatário XYZ Azure AD que será atribuído a
funções na assinatura XYZ. O grupo ABC Developers recebe a função de proprietário do cluster AKS.
Ambiente existente
• Uma empresa chamada ABC foi contratada para desenvolver e manter aplicativos para XYZ.
• Um locatário do Azure AD chamado abc.onmicrosoft.com
• Um cluster AKS chamado AKS2 que será usado pela ABC para implantar e gerenciar
aplicativos.
• O Defender for Cloud está configurado para avaliar todos os recursos em Sub1 para
conformidade com o padrão PCI DSS.
• Atualmente, os recursos que não são compatíveis com o padrão PCI DSS são corrigidos
manualmente.
• O Qualys é usado como a ferramenta de avaliação de vulnerabilidade padrão para servidores.
• A pontuação segura no Defender for Cloud mostra que todas as máquinas virtuais geram a
seguinte recomendação: As máquinas devem ter uma solução de avaliação de vulnerabilidade.
• Todas as máquinas virtuais devem ser compatíveis com o Defender for Cloud.
• A XYZ planeja implantar um novo aplicativo no cluster AKS chamado AKS1. O aplicativo usará
a autenticação do Azure Active Directory (Azure AD).
• O aplicativo será implantado no namespace padrão.
• O aplicativo só deve ser acessível a partir de redes virtuais na mesma região que AKS1.
• O aplicativo deve usar o Azure Key Vault para armazenar todos os segredos.
Requisitos - Requisitos de Desenvolvimento de Aplicativos
• Todos os aplicativos acessíveis pela Internet devem impedir conexões originadas na China.
• Somente membros de um grupo chamado SecurityAdmins devem ter permissão para
configurar grupos de segurança de rede (NSGs) e instâncias do Firewall do Azure, WAF e Front
Door em Sub1.
• Os administradores devem se conectar a um host seguro para executar qualquer
administração remota das máquinas virtuais. O host seguro deve ser provisionado a partir de
uma imagem personalizada do sistema operacional.
• XYZ deseja corrigir automaticamente as máquinas virtuais em Sub1 para serem compatíveis
com o padrão PCI DSS. As máquinas virtuais no TestRG devem ser excluídas da avaliação de
conformidade.
Questão 3
O que deve ser feito para impedir conexões com aplicativos acessíveis pela Internet originários da
China?
(Correto)
Azure Policy, Azure Active Directory Conditional Access e Microsoft Defender for Cloud não fornecem
uma solução para bloquear o tráfego com base em endereços IP.
Mais informações:
https://techcommunity.microsoft.com/t5/azure-network-security-blog/geolocation-filtering-with-
azure-firewall/ba-p/3255078
Pergunta 31:
Ignorado
Qual serviço do Azure fornece um ambiente totalmente isolado e dedicado para a execução segura
de aplicativos do Serviço de Aplicativo do Azure?
(Correto)
Funções do Azure
O Azure Service Fabric é uma plataforma de sistemas distribuídos que permite implantar e gerenciar
aplicativos baseados em microsserviços em escala.
• https://azure.microsoft.com/en-us/services/app-service/environment/
• https://docs.microsoft.com/en-us/azure/app-service/environment/intro
Pergunta 32:
Ignorado
Você tem um banco de dados SQL do Azure que contém dados confidenciais do cliente. Você precisa
garantir que os dados sejam protegidos em repouso e em trânsito.
Solução: habilite Always Encrypted no banco de dados e configure a criptografia SSL/TLS para
conexões de clientes.
No
Sim
(Correto)
Explicação
Habilite Always Encrypted no banco de dados e configure a criptografia SSL/TLS para conexões de
cliente. Essa opção garante que os dados confidenciais sejam criptografados em repouso e em
trânsito. O Always Encrypted criptografa os dados confidenciais antes que eles saiam do cliente e os
descriptografa quando são devolvidos ao cliente, garantindo que os dados nunca sejam expostos em
texto sem formatação. A criptografia SSL/TLS para conexões de cliente garante que os dados sejam
criptografados em trânsito entre o cliente e o banco de dados.
Documentação:
https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-
database-engine?view=sql-server-ver16
Pergunta 33:
Ignorado
Qual serviço do Azure permite que você gerencie seus recursos em ambientes locais, multinuvem e
de borda a partir de um único plano de controle?
Azure ExpressRoute
Arco Azure
(Correto)
Pilha do Azure
O Azure ExpressRoute é um serviço que permite criar conexões privadas entre os datacenters do
Azure e sua infraestrutura local ou ambiente de colocation.
Azure Site Recovery é uma solução de recuperação de desastres que ajuda a proteger aplicativos e
cargas de trabalho importantes em execução em máquinas virtuais.
O Azure Stack é uma plataforma de nuvem híbrida que permite trazer os serviços do Azure para o
seu datacenter.
Pergunta 34:
Ignorado
Para uma implantação do Azure, você está projetando uma arquitetura de segurança com base no
Microsoft Cloud Security Benchmark.
Você precisa recomendar uma prática recomendada para implementar contas de serviço para
gerenciamento de API do Azure.
•
Serviços de Federação do Active Directory (AD FS)
(Correto)
Controle de acesso baseado em função (RBAC), não está relacionado à implementação de contas de
serviço para gerenciamento de API do Azure. O RBAC é um recurso que permite gerenciar o acesso
aos recursos do Azure com base nas funções atribuídas a usuários, grupos ou serviços.
Barramento de serviço do Azure, não está relacionado à implementação de contas de serviço para
gerenciamento de API do Azure. O Barramento de Serviço do Azure é um serviço de mensagens que
permite a comunicação confiável entre serviços e aplicativos.
Os Serviços de Federação do Active Directory (AD FS) não estão relacionados à implementação de
contas de serviço para gerenciamento de API do Azure. AD FS é um recurso que permite fornecer
acesso de logon único a aplicativos Web usando credenciais do Active Directory.
Mais informações:
https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals .
Pergunta 35:
Ignorado
Uma empresa chamada XYZ migrou seu ambiente local para o Microsoft Azure. Eles têm um locatário
do Azure Active Directory, uma assinatura do Azure, várias redes virtuais, um balanceador de carga
do Azure e 30 máquinas virtuais configuradas como servidores de aplicativos. Eles também
contrataram uma empresa chamada ABC para o desenvolvimento de aplicativos. A ABC tem um
locatário do Azure AD e implementou um cluster Azure Kubernetes Service (AKS). A ABC
desenvolverá e manterá aplicativos no ambiente Azure. Os desenvolvedores serão adicionados a um
grupo de segurança chamado ABC Developers no locatário XYZ Azure AD que será atribuído a
funções na assinatura XYZ. O grupo ABC Developers recebe a função de proprietário do cluster AKS.
Ambiente existente
• Uma empresa chamada ABC foi contratada para desenvolver e manter aplicativos para XYZ.
• Um locatário do Azure AD chamado abc.onmicrosoft.com
• Um cluster AKS chamado AKS2 que será usado pela ABC para implantar e gerenciar
aplicativos.
• O Defender for Cloud está configurado para avaliar todos os recursos em Sub1 para
conformidade com o padrão PCI DSS.
• Atualmente, os recursos que não são compatíveis com o padrão PCI DSS são corrigidos
manualmente.
• O Qualys é usado como a ferramenta de avaliação de vulnerabilidade padrão para servidores.
• A pontuação segura no Defender for Cloud mostra que todas as máquinas virtuais geram a
seguinte recomendação: As máquinas devem ter uma solução de avaliação de vulnerabilidade.
• Todas as máquinas virtuais devem ser compatíveis com o Defender for Cloud.
Requisitos - implantação de aplicativos AKS
• A XYZ planeja implantar um novo aplicativo no cluster AKS chamado AKS1. O aplicativo usará
a autenticação do Azure Active Directory (Azure AD).
• O aplicativo será implantado no namespace padrão.
• O aplicativo só deve ser acessível a partir de redes virtuais na mesma região que AKS1.
• O aplicativo deve usar o Azure Key Vault para armazenar todos os segredos.
• Todos os aplicativos acessíveis pela Internet devem impedir conexões originadas na China.
• Somente membros de um grupo chamado SecurityAdmins devem ter permissão para
configurar grupos de segurança de rede (NSGs) e instâncias do Firewall do Azure, WAF e Front
Door em Sub1.
• Os administradores devem se conectar a um host seguro para executar qualquer
administração remota das máquinas virtuais. O host seguro deve ser provisionado a partir de
uma imagem personalizada do sistema operacional.
• XYZ deseja corrigir automaticamente as máquinas virtuais em Sub1 para serem compatíveis
com o padrão PCI DSS. As máquinas virtuais no TestRG devem ser excluídas da avaliação de
conformidade.
Questão 1:
O que deve ser feito para garantir que o novo aplicativo AKS só possa ser acessado de redes virtuais
na mesma região que AKS1?
(Correto)
Outras opções não fornecem uma solução para restringir o acesso ao cluster AKS em uma região
específica.
Referência:
https://learn.microsoft.com/en-us/azure/aks/private-clusters
Pergunta 36:
Ignorado
Qual dos seguintes serviços do Azure permite que as organizações gerenciem, controlem e
monitorem o acesso a recursos no Azure, Azure AD e outros Microsoft Online Services?
(Correto)
Mais informações sobre o Privileged Identity Management do Azure AD podem ser encontradas na
documentação oficial: https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-
management/what-is-azure-pim
Pergunta 37:
Ignorado
Para que serve o Azure ExpressRoute?
Para estabelecer uma conexão dedicada e privada entre a infraestrutura local de uma
organização e os datacenters do Azure
(Correto)
Explicação
O Azure ExpressRoute permite que as organizações estabeleçam uma conexão privada e dedicada
entre sua infraestrutura local e os datacenters do Azure. Essa conexão privada pode fornecer maior
segurança, confiabilidade e desempenho do que uma conexão de internet típica. Ele pode ser usado
para acessar os serviços do Azure, como máquinas virtuais e armazenamento, bem como outros
recursos do Azure.
Pergunta 38:
Ignorado
Sua empresa está planejando implementar um modelo de segurança Zero Trust como parte de seu
plano de modernização do ambiente de TI. Quais três áreas você deve priorizar para se alinhar com o
Plano de Modernização Rápida Zero Trust (RaMP)? Cada resposta correta vale um ponto.
(Correto)
(Correto)
Infraestrutura e desenvolvimento
(Correto)
Explicação
Migração para a nuvem: embora a migração para a nuvem possa ser uma parte importante do plano
de modernização de uma organização, pode não ser necessariamente uma prioridade para uma
implementação Zero Trust. O Zero Trust pode ser implementado no local ou na nuvem, portanto, a
migração ou não de uma organização para a nuvem deve depender de suas necessidades comerciais
específicas.
BYOD (Bring Your Own Device): Embora permitir que os funcionários usem seus dispositivos pessoais
para o trabalho possa melhorar a produtividade, também pode apresentar riscos de segurança. As
políticas BYOD devem ser implementadas com cautela e com os princípios Zero Trust em mente, mas
não é necessariamente uma área de alta prioridade para a implementação Zero Trust.
Respostas corretas:
Pergunta 39:
Ignorado
Qual é a finalidade do acesso à VM just-in-time (JIT) no Microsoft Defender for Cloud?
Para fornecer acesso temporário e controlado a uma máquina virtual (VM) para executar
tarefas administrativas
(Correto)
A resposta correta é fornecer acesso temporário e controlado a uma máquina virtual (VM) para
executar tarefas administrativas. O acesso JIT VM fornece uma maneira de reduzir a superfície de
ataque de uma VM reduzindo o tempo em que as portas administrativas estão abertas.
https://docs.microsoft.com/en-us/azure/security-center/just-in-time-access-overview
Pergunta 40:
Ignorado
Qual solução deve ser recomendada para aprimorar o gerenciamento de privacidade no ambiente de
trabalho, atendendo aos requisitos de identificação de dados pessoais não utilizados, capacitando os
usuários a tomar decisões inteligentes de tratamento de dados, fornecendo notificações e
orientações quando um usuário envia dados pessoais no Microsoft Teams e fazendo recomendações
para mitigar os riscos de privacidade?
Microsoft Privado
(Correto)
O Microsoft Viva Insights é uma ferramenta de produtividade que fornece insights e análises para
melhorar o bem-estar e o engajamento dos funcionários. Ele não atende aos requisitos do cenário
fornecido.
O Microsoft Compliance Manager ajuda as organizações a gerenciar atividades de conformidade nos
serviços de nuvem da Microsoft, mas não fornece soluções para aprimorar o gerenciamento de
privacidade no ambiente de trabalho.
O Microsoft Cloud App Security é um agente de segurança de acesso à nuvem (CASB) que ajuda as
organizações a obter visibilidade e controle sobre aplicativos e serviços em nuvem, mas não fornece
soluções para aprimorar o gerenciamento de privacidade no ambiente de trabalho.
Explicação: Microsoft Priva é uma solução que atende aos requisitos do cenário fornecido. Ele ajuda
as organizações a descobrir e gerenciar dados pessoais, identificando dados não utilizados e
fornecendo aos usuários recomendações para mitigar os riscos de privacidade. Ele capacita os
usuários a tomar decisões inteligentes sobre o manuseio de dados e fornece notificações e
orientações quando um usuário envia dados pessoais no Microsoft Teams. O Microsoft Priva faz parte
da assinatura do Microsoft 365 E5.
Mais Informações:
https://docs.microsoft.com/en-us/privacy/priva/risk-management