SC-100 Teste 3

Pergunta 1:
Ignorado
Sua organização migrou recentemente para o Azure e você precisa garantir que seus recursos de
nuvem estejam devidamente protegidos contra ataques. Você decide usar o Microsoft Defender
for Cloud para monitorar e proteger seus recursos do Azure. Qual das opções a seguir NÃO é um
recurso do Microsoft Defender for Cloud?
Monitoramento em tempo real dos recursos do Azure para ameaças de segurança
Detecção automática e bloqueio de atividades maliciosas
Integração com o Microsoft Sentinel para gerenciamento de segurança unificado
Gerenciamento automatizado de patches para recursos do Azure
(Correto)
Explicação
O Microsoft Defender for Cloud é uma solução de segurança nativa da nuvem que fornece
monitoramento em tempo real dos recursos do Azure para ameaças de segurança e oferece
detecção automática e bloqueio de atividades maliciosas. Ele também se integra ao Microsoft
Sentinel para gerenciamento de segurança unificado. No entanto, o gerenciamento automatizado
de patches para recursos do Azure não é um recurso do Microsoft Defender for Cloud.
Você pode aprender mais sobre o Microsoft Defender for Cloud

aqui: https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-
defender-for-cloud .
Pergunta 2:
Ignorado
Qual solução deve ser recomendada para avaliar e corrigir alertas de atividade de autenticação
suspeita no painel de proteção de carga de trabalho, usando a automação do fluxo de trabalho e
minimizando o esforço de desenvolvimento?
Webhooks do Azure Monitor
Aplicativos do Azure Functions
Aplicativos Lógicos do Azure

(Correto)
Análise de Fluxo do Azure

Explicação
Os Aplicativos Lógicos do Azure são a resposta correta porque fornecem uma solução de
automação de fluxo de trabalho que pode se conectar ao painel de proteções do Microsoft
Defender for Cloud e Workload para avaliar e corrigir alertas de atividade de autenticação
suspeita. Oferece modelos e conectores pré-construídos, minimizando o esforço de
desenvolvimento.
Os webhooks do Azure Monitor não são adequados para esse cenário, pois permitem apenas o
acionamento de um alerta ou ação em resposta a um alerta no Azure Monitor, mas não fornecem
automação de fluxo de trabalho para corrigir alertas de atividade de autenticação suspeita.
As funções do Azure não são adequadas para esse cenário, pois permitem apenas a criação de
funções pequenas e de finalidade única que podem ser acionadas por vários eventos ou agendas,
mas não fornecem automação de fluxo de trabalho para corrigir alertas de atividade de
autenticação suspeita.
Azure Stream Analytics não é adequado para este cenário, pois é usado para processamento de
fluxo de dados em tempo real, mas não fornece automação de fluxo de trabalho para corrigir
alertas de atividade de autenticação suspeita.
Mais Informações:
https://docs.microsoft.com/en-us/azure/logic-apps/logic-apps-overview
Pergunta 3:
Ignorado
Sua organização está planejando implementar uma solução baseada em nuvem no Microsoft
Azure. Você precisa projetar uma arquitetura de segurança com base no Microsoft Cloud Security
Benchmark. Quais são as três práticas recomendadas para proteger dados em trânsito no Azure?
Cada resposta correta apresenta uma solução completa.
Use grupos de segurança de rede (NSGs) para restringir o fluxo de tráfego entre sub-
redes.
(Correto)
Use o Link Privado do Azure para garantir que os dados nunca atravessem a Internet.
(Correto)
•
Implante o firewall na borda da rede corporativa
(Correto)
Habilitar política para bloquear a autenticação herdada
Ativar registro para investigação de segurança
Monitore anomalias e ameaças direcionadas a dados confidenciais

Explicação
• Grupos de segurança de rede (NSGs) permitem que você controle o fluxo de tráfego entre
sub-redes criando regras de segurança que permitem ou negam o tráfego com base em
critérios como endereço IP de origem, endereço IP de destino e número da porta. Os NSGs
ajudam você a implementar políticas de segurança e limitar a exposição de seus recursos
à Internet.
• O Azure Private Link permite que você se conecte aos serviços do Azure de forma privada
por meio de um ponto de extremidade privado em sua rede virtual. Ao fazer isso, você pode
garantir que os dados nunca atravessem a Internet e permaneçam em sua rede virtual.
• A implantação de um firewall na borda da rede corporativa ajuda a proteger o tráfego de e
para a Internet. Um firewall pode ser usado para filtrar o tráfego, impedir o acesso não
autorizado à rede e aplicar políticas de segurança.
• Habilitar a política para bloquear a autenticação herdada está relacionada à segurança da
autenticação em vez de proteger os dados em trânsito. Embora habilitar uma política para
bloquear a autenticação herdada seja uma boa prática de segurança, ela não aborda a
questão de proteger os dados em trânsito no Azure.
• Habilitar o log para investigação de segurança também é uma boa prática de segurança,
mas não aborda a questão de proteger os dados em trânsito no Azure. O log está mais
relacionado ao monitoramento de segurança e à resposta a incidentes.
• Monitorar anomalias e ameaças direcionadas a dados confidenciais está relacionado à
detecção de ameaças e monitoramento de segurança, em vez de proteger dados em
trânsito. Embora o monitoramento de anomalias e ameaças seja importante, ele não
aborda a questão da proteção de dados em trânsito no Azure.
Documentação: https://learn.microsoft.com/en-us/security/benchmark/azure/security-controls-
v3-network-security
Pergunta 4:
Ignorado
Para implementar as práticas recomendadas de DevSecOps do Microsoft Cloud Adoption
Framework para Azure, sua empresa pretende conduzir a modelagem de ameaças usando uma
abordagem de cima para baixo. Qual é a ferramenta ou estrutura recomendada para iniciar o
processo de modelagem de ameaças?
•
O modelo STRIDE
(Correto)
O modelo VAST
Modelagem de ameaças OWASP
O modelo PASTA
Explicação
O modelo STRIDE: Esta é uma estrutura de modelagem de ameaças popular que ajuda a
identificar ameaças de segurança com base em seis categorias - falsificação, adulteração,
repúdio, divulgação de informações, negação de serviço e elevação de privilégio. Este modelo é
amplamente utilizado e suportado pela Microsoft e, portanto, é uma boa escolha para começar.
O modelo VAST: O modelo VAST (modelagem visual, ágil e simples de ameaças) é uma
abordagem relativamente nova que visa tornar a modelagem de ameaças mais acessível às
equipes de desenvolvimento ágil. Embora tenha alguns benefícios, como simplicidade e
representações visuais, pode não ser uma boa escolha para uma abordagem de cima para baixo,
pois não é tão abrangente quanto outros modelos.
Modelagem de ameaças OWASP: Este modelo é desenvolvido e mantido pelo Open Web
Application Security Project (OWASP) e é uma estrutura abrangente que ajuda a identificar e
priorizar riscos de segurança associados a aplicativos da web. Embora seja uma excelente opção
para aplicativos da Web, pode não ser a melhor opção para uma abordagem de cima para baixo
para infraestrutura e sistemas gerais.
O modelo PASTA: O modelo Processo para Simulação de Ataque e Análise de Ameaças (PASTA)
é uma abordagem iterativa e centrada no risco para a modelagem de ameaças que considera
diferentes perspectivas, como comercial, técnica e operacional. É adequado para sistemas
complexos e pode ser adaptado para diferentes necessidades organizacionais. Portanto, é uma
boa escolha para iniciar um exercício de modelagem de ameaças de cima para baixo. No entanto,
não é um elemento central do ciclo de vida de desenvolvimento de segurança da Microsoft.
Documentação: https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-
threats
Pergunta 5:
Ignorado
Qual dos seguintes recursos do Network Watcher pode ser usado para diagnosticar problemas de
conectividade entre as máquinas virtuais do Azure?
•
verificação de fluxo IP
(Correto)
captura de pacotes
Grupos de segurança de rede
Análise de Tráfego
Explicação
A verificação de fluxo de IP é um recurso do Network Watcher que pode ser usado para
diagnosticar problemas de conectividade entre máquinas virtuais do Azure. Ele permite que você
verifique se o tráfego pode fluir entre um endereço IP de origem e destino, bem como determinar
o motivo pelo qual o tráfego pode estar bloqueado.
A captura de pacotes é outro recurso do Network Watcher que permite capturar o tráfego de rede
em uma máquina virtual do Azure e, em seguida, exibir e analisar os pacotes capturados.
Grupos de segurança de rede são usados para filtrar o tráfego de rede de e para recursos do
Azure com base em um conjunto de regras. A Análise de Tráfego é um recurso do Observador de
Rede do Azure que fornece visibilidade dos fluxos de tráfego de rede nas redes virtuais do Azure.
Você pode aprender mais sobre os recursos do Network Watcher aqui:

https://docs.microsoft.com/en-us/azure/network-watcher/ .
Pergunta 6:
Ignorado
Qual solução deve ser recomendada para enviar eventos de segurança do Microsoft Sentinel para
o QRadar?
Conector de dados do Microsoft Sentinel
Centros de Eventos do Azure
(Correto)
•
Funções do Azure
Aplicativos lógicos
Explicação
Os Hubs de Eventos do Azure fornecem um processo de integração simples para o QRadar por
meio do uso de seu recurso integrado de Captura do Hub de Eventos. Esse recurso permite que
os usuários capturem facilmente dados dos Hubs de Eventos e os armazenem em uma conta de
armazenamento especificada. O QRadar pode ingerir esses dados diretamente da conta de
armazenamento, facilitando o consumo e a análise.
Documentação dos Hubs de Eventos do Azure:

https://docs.microsoft.com/en-us/azure/event-hubs/
Integrando o Microsoft Azure Sentinel com o IBM QRadar:
https://www.ibm.com/docs/en/QRadar/7.4 .2?topic=guide-integrating-microsoft-azure-sentinel-
with-ibm-qradar
Pergunta 7:
Ignorado
Qual tecnologia do Azure permite automatizar e orquestrar respostas a incidentes de segurança?
Azure Active Directory
Sentinela da Microsoft
(Correto)
Microsoft Defender para nuvem
Firewall do Azure
Explicação
O Microsoft Sentinel é um sistema de gerenciamento de eventos e informações de segurança
(SIEM) nativo da nuvem que permite que as equipes de segurança coletem e analisem dados
relacionados à segurança de várias fontes. Playbooks no Sentinel permitem que as equipes de
segurança automatizem e orquestrem respostas a incidentes de segurança. Ao criar playbooks,
as equipes de segurança podem definir uma série de ações automatizadas a serem executadas
quando ocorrer um evento de segurança específico. Por exemplo, um playbook pode isolar
automaticamente uma máquina virtual comprometida, alertar uma equipe de segurança e iniciar
uma investigação.
Saber mais:
• https://docs.microsoft.com/en-us/azure/sentinel/tutorial-respond-threats-playbook
• https://azure.microsoft.com/en-us/services/azure-sentinel/
Pergunta 8:
Ignorado
Qual das opções a seguir é um recurso do Azure AD que fornece detecção e correção
automatizadas de ameaças para proteger as identidades dos usuários e detectar possíveis
vulnerabilidades?
Azure AD Privileged Identity Management (PIM)
Autenticação multifator (MFA) do Azure AD
Azure AD Connect
Proteção de identidade do Azure AD
(Correto)
Explicação
O Azure AD Identity Protection utiliza algoritmos de aprendizado de máquina para analisar
entradas de usuário, eventos de risco e outros dados para detectar possíveis vulnerabilidades em
tempo real. Em seguida, fornece recomendações e etapas de correção para lidar com essas
vulnerabilidades e evitar possíveis violações de segurança. O recurso também pode ser usado
para criar políticas personalizadas e pontuações de risco com base nas necessidades de
segurança específicas de uma organização.
Azure AD Privileged Identity Management (PIM) é um recurso no Azure AD que permite que as
organizações gerenciem, controlem e monitorem o acesso a recursos críticos em seu
ambiente. Embora seja um recurso de segurança importante, ele não fornece detecção e correção
automatizadas de ameaças, como o Azure AD Identity Protection.
A autenticação multifator (MFA) do Azure AD é um recurso de segurança que exige que os

usuários forneçam duas ou mais formas de autenticação antes de acessar um aplicativo ou
recurso. Embora seja um recurso de segurança importante, ele não fornece detecção e correção
automatizadas de ameaças, como o Azure AD Identity Protection.
O Azure AD Connect é uma ferramenta que permite que as organizações sincronizem contas de
usuário e grupo de seu diretório local para o Azure AD. Embora seja uma ferramenta importante
para gerenciar identidades de usuários, ela não fornece detecção e correção automatizadas de
ameaças como o Azure AD Identity Protection.
Aqui está um link para a documentação do Azure AD Identity Protection para leitura
adicional: https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/overview
Pergunta 9:
Ignorado
Qual serviço do Azure pode ser usado para automatizar a implantação e renovação de
certificados SSL/TLS para aplicativos e serviços Web do Azure e fornece uma API para recuperar
e gerenciar segredos e chaves de forma programática?
Azure Key Vault
(Correto)
Gerenciador de Tráfego do Azure
Gerenciamento de API do Azure

Explicação
A resposta correta é "Azure Key Vault". O Azure Key Vault pode ser usado para automatizar a
implantação e renovação de certificados SSL/TLS para aplicativos e serviços Web do Azure, bem
como para gerenciar segredos e chaves programaticamente por meio de sua API.
O Azure Traffic Manager é um balanceador de carga de tráfego baseado em DNS que pode ser
usado para distribuir o tráfego em vários pontos de extremidade, como diferentes regiões do
Azure ou pontos de extremidade externos.
O Azure Active Directory é um serviço de gerenciamento de identidade e acesso baseado em

nuvem que fornece uma experiência de logon único para usuários em vários aplicativos e
serviços.
O Gerenciamento de API do Azure é um serviço que permite criar, publicar e gerenciar APIs com
segurança e em escala.
Para obter mais informações sobre o Azure Key Vault, consulte a documentação do
Azure: https://docs.microsoft.com/en-us/azure/key-vault/
Pergunta 10:
Ignorado
Qual é o termo usado para descrever o processo de sincronização de identidades locais e hashes
de senha com o Azure Active Directory?
Azure AD Connect
(Correto)
•
Azure AD Premium
Serviços de domínio do Azure AD
Proxy de aplicativo do Azure AD

Explicação
A resposta correta é "Azure AD Connect". O Azure AD Connect é a ferramenta usada para
sincronizar identidades locais e hashes de senha com o Azure Active Directory. Ele também
permite cenários de identidade híbrida e fornece recursos como sincronização de hash de senha,
autenticação de passagem e integração de federação.
O Azure AD Premium é uma versão paga do Azure Active Directory que fornece recursos
avançados, como redefinição de senha de autoatendimento, autenticação multifator e políticas de
acesso condicional.
Azure AD Domain Services, é um serviço que fornece serviços de domínio, como ingresso no
domínio, política de grupo, LDAP e autenticação Kerberos usando a infraestrutura do Azure.
O Proxy de Aplicativo do Azure AD é um serviço que publica com segurança aplicativos Web
locais para usuários externos, sem a necessidade de VPN ou abertura de portas de entrada.
Para obter mais informações sobre o Azure AD Connect, consulte a documentação do

Azure: https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-azure-ad-connect
Pergunta 11:
Ignorado
Qual é a finalidade do Azure Active Directory Domain Services (AAD DS)?
O AAD DS permite que máquinas ingressadas no domínio se autentiquem no Azure AD e

acessem recursos no Azure
O AAD DS fornece um serviço de domínio totalmente gerenciado compatível com o

Windows Server Active Directory
(Correto)
AAD DS é usado para gerenciar identidades de usuários no Azure e no local
•
AAD DS fornece um serviço de backup e recuperação para o Azure AD
Explicação
Azure Active Directory Domain Services (AAD DS) fornece um serviço de domínio totalmente
gerenciado que é compatível com Windows Server Active Directory. Ele é usado para fornecer
serviços de domínio gerenciado, como ingresso no domínio, política de grupo, LDAP e
autenticação Kerberos/NTLM. O AAD DS foi projetado para fornecer a mesma funcionalidade de
um ambiente de Serviços de Domínio Active Directory (AD DS) local, mas sem a necessidade de
gerenciar controladores de domínio e sua infraestrutura associada.
Mais Informações:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/overview
Pergunta 12:
Ignorado
Qual ferramenta você deve usar para comparar as linhas de base de segurança do Microsoft
Security Compliance Toolkit com as configurações de dispositivo atuais de seus dispositivos
Windows 10, Windows 11 ou Windows Server para aprimorar a postura de segurança?
Analisador de políticas
(Correto)
Verificador de conformidade de segurança (SCC)
Assistente de configuração de segurança (SCW)
Configuração do estado desejado do PowerShell (DSC)

Explicação
A resposta correta é Policy Analyzer, que é uma ferramenta incluída no Microsoft Security
Compliance Toolkit que permite comparar as configurações de políticas locais ou de grupo com
as configurações de um computador de referência ou com uma linha de base de segurança.
O verificador de conformidade de segurança (SCC) é uma resposta incorreta porque é uma

ferramenta usada para avaliar a conformidade de segurança de cargas de trabalho da Microsoft,
como Microsoft Office 365, Microsoft Dynamics 365 e Microsoft Azure.
O Assistente de configuração de segurança (SCW) é uma resposta incorreta porque é uma

ferramenta que ajuda a reduzir as superfícies de ataque criando uma política de segurança
baseada em funções e funções do servidor. Ele não possui um recurso de comparação para
verificar a configuração atual em relação a uma linha de base de segurança.
A configuração de estado desejado (DSC) do PowerShell é uma resposta incorreta porque é um

recurso do PowerShell que permite definir a configuração de um sistema em uma linguagem
declarativa e, em seguida, aplicar essa configuração para garantir a consistência entre os
sistemas. Ele não foi projetado especificamente para comparar a configuração atual com uma
linha de base de segurança.
Fonte: Microsoft Docs - Microsoft Security Compliance Toolkit:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-compliance-
toolkit-10
Pergunta 13:
Ignorado
Sua empresa deseja proteger uma conta de armazenamento de blob acessível a partir de 5
servidores de aplicativos na Internet. O que você deve recomendar para garantir que apenas os
servidores de aplicativos possam acessar a conta de armazenamento?
Habilitar criptografia em repouso para a conta de armazenamento
Implemente o Link Privado do Azure para a conta de armazenamento
Configurar regras de firewall para a conta de armazenamento
(Correto)
Use o controle de acesso baseado em função (RBAC) para gerenciar o acesso à conta de
armazenamento
Use uma rede privada virtual (VPN) para acessar a conta de armazenamento
Explicação
Configurar regras de firewall para a conta de armazenamento é a resposta correta porque permite
criar regras que especificam os endereços IP ou intervalos com permissão para acessar a conta
de armazenamento. Ao configurar regras de firewall, você pode garantir que apenas os 20
servidores de aplicativos na Internet tenham permissão para acessar a conta de armazenamento.
Habilitar criptografia em repouso para a conta de armazenamento está incorreto porque

criptografa os dados armazenados na conta de armazenamento, mas não restringe o acesso à
conta.
Implementar Link Privado do Azure para a conta de armazenamento está incorreto porque
permite a conectividade privada com a conta de armazenamento em uma rede virtual do Azure,
mas não restringe o acesso à conta.
Usar controle de acesso baseado em função (RBAC) para gerenciar o acesso à conta de
armazenamento é incorreto porque permite gerenciar o acesso a recursos com base em funções
atribuídas a usuários ou grupos, mas não restringe o acesso à conta de armazenamento a
endereços IP específicos.
Usar uma rede privada virtual (VPN) para acessar a conta de armazenamento está incorreto
porque permite o acesso seguro aos recursos por meio de uma conexão VPN, mas não restringe
o acesso à conta de armazenamento a endereços IP específicos.
Referência: https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security
Pergunta 14:
Ignorado
Sua empresa está desenvolvendo um novo aplicativo Web para ser executado no Serviço de
Aplicativo do Azure. O aplicativo será acessado por usuários na internet e precisará acessar com
segurança um banco de dados hospedado no Azure. Qual serviço do Azure você deve usar para
permitir que o aplicativo Web acesse o banco de dados com segurança?
Pontos de extremidade de serviço de rede virtual
Link privado do Azure
(Correto)
porta da frente azul
Azure ExpressRoute
Explicação
O link privado do Azure é a resposta correta porque permite que você acesse com segurança os
serviços do Azure em um ponto de extremidade privado em sua rede virtual. Isso garante que o
tráfego para o serviço não saia da rede do Azure e minimiza a exposição do serviço à Internet
pública.
Os pontos de extremidade do serviço de rede virtual estão incorretos porque fornecem

conectividade segura e direta entre redes virtuais e serviços do Azure, mas não fornecem acesso
privado aos serviços do Azure da Internet.
O Azure Front Door está incorreto porque é um ponto de entrada escalonável e seguro para
entrega rápida de seus aplicativos globais. Embora forneça roteamento seguro e otimizado do
tráfego da Web, ele não fornece acesso privado aos serviços do Azure pela Internet.
O Azure ExpressRoute está incorreto porque fornece conectividade de rede privada dedicada
entre a infraestrutura local e os serviços do Azure, mas não foi projetado para fornecer acesso
privado aos serviços do Azure da Internet.
Referência: https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview
Pergunta 15:
Ignorado
Sua empresa está usando o Armazenamento do Azure e precisa compartilhar blobs específicos
com fornecedores de maneira limitada e segura. Qual solução você recomendaria para atingir
esse objetivo?
Use o Azure AD para gerenciar o acesso aos blobs e atribuir contas de fornecedores com
as permissões apropriadas.
Crie uma nova conta de armazenamento com acesso limitado apenas aos blobs
específicos que precisam ser compartilhados e compartilhe a chave de acesso com os
fornecedores.
Compartilhe toda a conta de armazenamento com os fornecedores, mas revogue o acesso

assim que o período de compartilhamento terminar.
Crie assinaturas de acesso compartilhado (SAS) para fornecer aos fornecedores acesso
temporário e seguro a blobs específicos.
(Correto)
Explicação
Embora o Azure AD possa ser usado para gerenciar o acesso, ele não fornece a granularidade
necessária para restringir o acesso a blobs específicos. Portanto, esta opção está incorreta.
A criação de uma nova conta de armazenamento é desnecessária e pode levar a sobrecarga

administrativa adicional. Além disso, compartilhar a chave de acesso com fornecedores não é
recomendado, pois pode expor todos os blobs da conta. Portanto, esta opção está incorreta.
Compartilhar toda a conta de armazenamento com os fornecedores anula o objetivo de

compartilhar blobs específicos e não fornece nenhum nível de segurança. Além disso, revogar o
acesso manualmente pode ser complicado e sujeito a erros. Portanto, esta opção está incorreta.
A criação de assinaturas de acesso compartilhado (SAS) é a abordagem recomendada para

fornecer aos fornecedores acesso temporário e seguro a blobs específicos. Portanto, esta é a
opção correta.
Referência: https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-overview
Pergunta 16:
Ignorado
Qual deve ser a primeira etapa do plano de recuperação após um ataque de ransomware que
criptografou dados em uma assinatura do Microsoft 365 sincronizada com Active Directory
Domain Services (AD DS) de acordo com as práticas recomendadas de segurança da Microsoft?
Desligue o computador ou dispositivo que foi afetado pelo ataque de ransomware.
Pague imediatamente o resgate exigido pelo invasor.
Crie uma nova assinatura do Microsoft 365 e comece do zero.
Desative a sincronização do Microsoft OneDrive e o Exchange ActiveSync.
(Correto)
Explicação
No caso de um ataque de ransomware, o primeiro passo a tomar é isolar o dispositivo infectado e
desabilitar a sincronização dos dados comprometidos com outros dispositivos. Ao desabilitar a
sincronização do OneDrive e o Exchange ActiveSync, você pode impedir que o ransomware se
espalhe para outros dispositivos ou serviços em nuvem. Isso também pode ajudar a minimizar os
danos e evitar mais perdas de dados.
Desligar o computador ou dispositivo afetado pelo ataque de ransomware pode interromper a

propagação do ransomware, mas não resolve o problema subjacente da presença do malware ou
dos dados infectados.
Pagar o resgate não é recomendado, pois não há garantia de que o invasor liberará a chave de
descriptografia mesmo após o pagamento. Além disso, pagar o resgate apenas encorajará o
invasor a continuar com suas atividades ilegais.
Criar uma nova assinatura do Microsoft 365 do zero não é prático e pode ser demorado. Também
não é uma solução, pois o ransomware ainda pode estar presente em outros dispositivos ou na
nuvem, tornando-o suscetível a outro ataque.
Para obter mais informações, consulte o guia de práticas recomendadas de segurança da

Microsoft:
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/recover-from-
ransomware?view=o365-worldwide#step-2-disable-exchange-activesync-and-onedrive-sync
Pergunta 17:
Ignorado
A XYZ Corporation é uma empresa global que oferece uma variedade de software e serviços a
seus clientes. Eles decidiram migrar sua infraestrutura local para a nuvem do Azure. Eles já
criaram uma assinatura do Azure e um locatário do Azure Active Directory (AD) para gerenciar
seus recursos de nuvem. Eles também planejam usar o Azure Site Recovery para fins de
recuperação de desastres.
Ambiente existente:
• Uma assinatura do Azure chamada XYZ-Sub1

• Um locatário do Azure AD chamado xyz.onmicrosoft.com
• A infraestrutura local inclui várias máquinas virtuais em execução em hosts Hyper-V
• A infraestrutura local também inclui um servidor de arquivos usado para armazenar dados
do usuário
• O servidor de arquivos tem 1 TB de dados armazenados em uma pasta compartilhada
chamada Data
• Todas as máquinas virtuais estão conectadas a uma rede virtual chamada VNet1
Ambiente Existente - Migração:
• A migração será realizada em duas fases:

• Fase 1 - Migrar o servidor de arquivos para o Azure
• Fase 2 - Migrar as máquinas virtuais para o Azure
Ambiente Existente - Segurança:
• A XYZ Corporation possui uma equipe de segurança que supervisiona as políticas e

procedimentos relacionados à segurança.
• Todas as máquinas virtuais precisam ser criptografadas com o Azure Disk Encryption.
• Todas as máquinas virtuais devem ter os patches de segurança mais recentes instalados.
• A rede virtual deve ser protegida para que apenas o tráfego autorizado seja permitido
dentro e fora das máquinas virtuais.
Requisitos - Fase 1:
• O servidor de arquivos deve ser migrado para o Azure enquanto minimiza o tempo de
inatividade.
• O servidor de arquivos migrado deve manter seu endereço IP existente.
• A pasta compartilhada Data deve ser replicada para o Azure e disponibilizada aos usuários.
• Todas as máquinas virtuais devem ser migradas para o Azure, minimizando o tempo de
inatividade.
• Todas as máquinas virtuais devem estar conectadas à VNet1 após a migração.
• Todas as máquinas virtuais devem ser criptografadas com o Azure Disk Encryption.
Requisitos - Recuperação de desastres:
• O Azure Site Recovery deve ser usado para replicar as máquinas virtuais para uma região
secundária do Azure.
• A região secundária deve estar em uma localização geográfica diferente da região
primária.
Pergunta 1
Qual serviço do Azure a XYZ Corporation deve usar para migrar seu servidor de arquivos para o
Azure, minimizando o tempo de inatividade e mantendo o endereço IP existente?
Migração para Azure
Recuperação de sites do Azure
Serviço de migração de armazenamento do Azure
(Correto)
Serviço de migração de banco de dados do Azure

Explicação
O Serviço de Migração de Armazenamento do Azure é uma ferramenta que simplifica a migração
de grandes quantidades de dados para o Azure. Ele pode migrar compartilhamentos de arquivos,
sistemas de arquivos e dados do local para contas de armazenamento do Azure. Ele também
pode migrar os arquivos sem exigir tempo de inatividade ou reconfiguração.
Referência
https://learn.microsoft.com/en-us/windows-server/storage/storage-migration-
service/overview#why-use-storage-migration-service
Pergunta 18:
Ignorado
Ambiente existente:

do usuário
chamada Data


inatividade.
inatividade.
primária.
Pergunta 2
Qual serviço do Azure a XYZ Corporation deve usar para replicar suas máquinas virtuais para uma
região secundária do Azure para fins de recuperação de desastres?
Recuperação de sites do Azure
(Correto)
Backup do Azure
Máquinas Virtuais do Azure
Observador de rede do Azure

Explicação
Azure Site Recovery é uma solução de recuperação de desastres que pode replicar máquinas
virtuais para uma região secundária do Azure. Em caso de desastre, as máquinas virtuais podem
sofrer failover para a região secundária, minimizando o tempo de inatividade.
Referência: visão geral do Azure Site Recovery
Pergunta 19:
Ignorado
Ambiente existente:

do usuário
chamada Data


inatividade.
inatividade.
primária.
Pergunta 3
Qual serviço do Azure a XYZ Corporation deve usar para criptografar suas máquinas virtuais com
o Azure Disk Encryption?
Azure Key Vault
(Correto)

•
Proteção de Informações do Azure

Explicação
A criptografia de disco do Azure usa Azure Key Vault para armazenar e gerenciar as chaves de
criptografia usadas para criptografar as máquinas virtuais. As chaves são protegidas pelas
políticas de acesso avançadas do Azure Key Vault e pelos logs de auditoria.
Referência: visão geral da criptografia de disco do Azure

Pergunta 20:
Ignorado
Ambiente existente:

do usuário
chamada Data


inatividade.
inatividade.
primária.
Pergunta 4
Qual serviço do Azure a XYZ Corporation deve usar para monitorar e aplicar patches de segurança
em suas máquinas virtuais?
(Correto)
Sentinela da Microsoft
•
Firewall do Azure
Grupos de Segurança de Rede do Azure

Explicação
O Microsoft Defender for Cloud é uma solução unificada de gerenciamento de segurança que
pode monitorar e aplicar patches de segurança em máquinas virtuais. Ele também pode fornecer
recomendações para melhorar a postura de segurança das máquinas virtuais.
Referência: visão geral do Microsoft Defender for Cloud

Pergunta 21:
Ignorado
Para que serve o Proxy de Aplicativo do Azure AD?
Autenticação de usuários para recursos do Azure
Fornecendo acesso remoto seguro a aplicativos da Web locais
(Correto)
Ativando a autenticação multifator para aplicativos em nuvem
Gerenciando políticas de acesso a recursos do Azure

Explicação
O Proxy de Aplicativo do Azure AD é usado para fornecer acesso remoto com segurança a
aplicativos Web locais. Ele permite que os usuários acessem aplicativos da Web hospedados no
local por meio da nuvem, sem exigir que o aplicativo seja exposto diretamente à Internet. Isso
pode ser feito mantendo controles de acesso seguros e autenticação por meio do Azure AD.
A autenticação de usuários para recursos do Azure está incorreta, pois a autenticação de

usuários para recursos do Azure é a principal função do próprio Azure AD.
Habilitar a autenticação multifator para aplicativos em nuvem está incorreto, pois a autenticação
multifator para aplicativos em nuvem é um recurso separado oferecido pelo Azure AD.
O gerenciamento de políticas de acesso a recursos do Azure está incorreto, pois o gerenciamento

de políticas de acesso a recursos do Azure é feito por meio do RBAC do Azure e de políticas de
acesso condicional.
Documentação: https://docs.microsoft.com/en-us/azure/active-directory/manage-
apps/application-proxy
Pergunta 22:
Ignorado
Para que serve o Azure Bastion?
Para gerenciar máquinas virtuais no Azure
Para fornecer acesso remoto seguro a aplicativos da Web locais
Para gerenciar contas de usuário do Azure Active Directory
Para fornecer acesso RDP/SSH seguro e contínuo a máquinas virtuais no Azure
(Correto)
Explicação
O Azure Bastion é um serviço totalmente gerenciado que fornece acesso RDP/SSH seguro e
contínuo a máquinas virtuais no Azure sem a necessidade de um endereço IP público ou conexão
VPN. Ele simplifica a experiência de acesso remoto ao fornecer uma solução SSL VPN baseada
em navegador que pode ser usada de qualquer lugar.
Link da documentação: https://docs.microsoft.com/en-us/azure/bastion/bastion-overview
Pergunta 23:
Ignorado
Qual das opções a seguir é necessária para usar o Azure ExpressRoute?
Uma assinatura do Azure
Uma conta do Azure Active Directory
Uma conexão VPN
Uma conexão dedicada e privada de um provedor de serviços de rede
(Correto)
Explicação
Explicação: Para usar o Azure ExpressRoute, uma conexão dedicada e privada deve ser
estabelecida entre a rede local e a rede do Azure, usando um provedor de serviços de rede. Essa
conexão é separada da Internet pública e oferece maior segurança e confiabilidade em
comparação com uma conexão VPN padrão.
Link da documentação: https://docs.microsoft.com/en-us/azure/expressroute/expressroute-

introduction
Pergunta 24:
Ignorado
Qual das opções a seguir é um exemplo de mascaramento dinâmico de dados em ação?
Um número de cartão de crédito é substituído por asteriscos em um resultado de consulta

SQL
(Correto)
Um administrador de banco de dados faz login usando autenticação multifator
Um backup de banco de dados é criptografado usando uma chave simétrica
Um firewall de rede bloqueia o tráfego de endereços IP não autorizados

Explicação
Quando o Dynamic Data Masking é aplicado a um campo do banco de dados, ele pode ser
configurado para mascarar os dados de diferentes maneiras, como substituir os dados reais por
asteriscos ou substituí-los por um valor aleatório. Isso pode ser usado para ocultar informações
confidenciais, como números de cartão de crédito, números de previdência social ou endereços
de e-mail de usuários não autorizados.
Link da documentação: https://learn.microsoft.com/en-us/sql/relational-

databases/security/dynamic-data-masking?view=sql-server-ver15#defining-a-dynamic-data-mask
Pergunta 25:
Ignorado
Qual é o principal benefício de usar o TDE no Banco de Dados SQL do Azure?
Reduz o tempo de backup
Melhora o desempenho do banco de dados

•
Aumenta a segurança dos dados
(Correto)
Aumenta a capacidade de armazenamento

Explicação
Explicação: TDE ajuda a proteger dados confidenciais criptografando-os em repouso. Isso ajuda a
garantir que os dados estejam seguros e não possam ser acessados ou lidos por usuários ou
aplicativos não autorizados.
Link da documentação: https://learn.microsoft.com/en-us/sql/relational-

databases/security/encryption/transparent-data-encryption?source=recommendations&view=sql-
server-ver16
Pergunta 26:
Ignorado
Como funciona a Assinatura de Acesso Compartilhado (SAS) no Armazenamento do Azure?
Ele concede acesso total à conta de armazenamento para um usuário específico
Ele permite que um usuário gerencie os recursos do Azure Active Directory
Ele fornece acesso temporário a recursos de armazenamento específicos com

permissões específicas
(Correto)
Ele criptografa dados em repouso no armazenamento do Azure

Explicação
A Assinatura de Acesso Compartilhado (SAS) é um token que fornece acesso temporário seguro
a recursos específicos no Armazenamento do Azure com permissões específicas. O token SAS
pode ser gerado e fornecido a um usuário ou aplicativo, que pode usá-lo para acessar o recurso
especificado com as permissões concedidas.
Link da documentação: https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-

overview
Pergunta 27:
Ignorado
Que tipo de usuários podem ser gerenciados com o Azure AD B2C?
•
Usuários gerenciados pelo Azure AD
Usuários do Office 365
Usuários locais do Active Directory
Clientes externos e parceiros
(Correto)
Explicação
O Azure AD B2C foi projetado para gerenciar clientes e parceiros externos, proporcionando-lhes
uma experiência segura e contínua ao acessar aplicativos móveis e da Web.
Link da documentação: https://docs.microsoft.com/en-us/azure/active-directory-b2c/overview
Pergunta 28:
Ignorado
Qual das opções a seguir é uma abordagem recomendada para proteger a autenticação serviço a
serviço no Azure?
Usando uma única chave de acesso compartilhada para todos os serviços
Usando identidades gerenciadas para recursos do Azure
(Correto)
Armazenando credenciais de autenticação em um repositório público
Incorporando tokens de autenticação no código do aplicativo

Explicação
O uso de identidades gerenciadas para recursos do Azure é uma abordagem recomendada para
proteger a autenticação serviço a serviço no Azure. As identidades gerenciadas fornecem uma
maneira automatizada de autenticar recursos do Azure sem exigir o uso de chaves de acesso
compartilhadas ou armazenar credenciais de autenticação em um repositório público. Usar uma
única chave de acesso compartilhada, armazenar credenciais em um repositório público ou
incorporar tokens no código do aplicativo são práticas inseguras que devem ser evitadas.
Link da documentação: https://docs.microsoft.com/en-us/azure/active-directory/ managed-

identities-azure-resources/overview
Pergunta 29:
Ignorado
Qual das opções a seguir pode ser avaliada usando o Secure Score? (Selecione dois)
A força das senhas dos usuários
A presença de malware nos dispositivos da empresa
O uso de autenticação multifator
(Correto)
A configuração de firewalls de rede
(Correto)
Explicação
O Secure Score pode avaliar o uso de autenticação multifator e a configuração de firewalls de
rede, mas não pode avaliar diretamente a força das senhas dos usuários ou a presença de
malware nos dispositivos da empresa.
Link da documentação: https://learn.microsoft.com/en-us/azure/defender-for-cloud/secure-

score-security-controls
Pergunta 30:
Ignorado
O que é um tipo de informação confidencial no DLP? (selecione tudo que se aplica)
Um padrão predefinido ou palavra-chave que identifica um tipo específico de informação

confidencial
(Correto)
•
Uma regra personalizada definida pelo usuário que identifica um tipo específico de
informação confidencial
(Correto)
Uma ferramenta para monitorar o tráfego de rede para identificar possíveis ameaças à
segurança
Um método para criptografar dados para impedir o acesso não autorizado

Explicação
No DLP, um tipo de informação confidencial é um padrão predefinido ou palavra-chave que
identifica um tipo específico de informação confidencial, como números de cartão de crédito ou
números de previdência social. O Microsoft 365 inclui muitos tipos de informações confidenciais
internas e os administradores também podem criar tipos de informações confidenciais
personalizados.
Referência:
https://learn.microsoft.com/en-us/microsoft-365/compliance/sensitive-information-type-learn-
about?view=o365-worldwide
Pergunta 31:
Ignorado
Quais são os principais recursos do Network Watcher no Azure?
Captura de pacotes, verificação de fluxo de IP, próximo salto, diagnóstico de VPN e

exibição de grupo de segurança
(Correto)
Backup e recuperação, otimização de desempenho, controle de acesso à rede e

gerenciamento de firewall
Gerenciamento de DNS, balanceamento de carga, peering de rede virtual e roteamento de

tráfego
Integração do Azure Active Directory, logon único e autenticação multifator

Explicação
Os principais recursos do Network Watcher no Azure incluem captura de pacotes, verificação de
fluxo de IP, próximo salto, diagnóstico de VPN e exibição de grupo de segurança. Esses recursos
permitem que você monitore e diagnostique problemas em seus recursos de rede do Azure.
Documentação: https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-
monitoring-overview#key-features
Pergunta 32:
Ignorado
Você tem uma assinatura do Azure que hospeda várias máquinas virtuais executando diferentes
aplicativos. Você precisa garantir que cada máquina virtual esteja protegida contra malware e
vírus.
Solução: use o Microsoft Defender for Cloud para habilitar o acesso just-in-time a máquinas
virtuais.
Essa solução resolve o problema?
Sim
No
(Correto)
Explicação
O uso do Microsoft Defender for Cloud para habilitar o acesso just-in-time a máquinas virtuais é
incorreto porque aborda apenas o controle de acesso e não fornece proteção contra malware.
Acesso Just in Time: https://learn.microsoft.com/en-us/azure/defender-for-cloud/just-in-time-

access-usage
Pergunta 33:
Ignorado
vírus.
Solução: use o Microsoft Defender para servidores para detectar e proteger contra malware e
vírus.
•
Sim
(Correto)
No
Explicação
Use o Azure Defender para servidores para detectar e proteger contra malware e vírus. Essa
opção fornece proteção avançada contra ameaças para máquinas virtuais, incluindo recursos
antimalware e antivírus, para proteger contra uma ampla variedade de ataques.
Microsoft Defender para servidores: https://learn.microsoft.com/en-us/azure/defender-for-

cloud/plan-defender-for-servers
Pergunta 34:
Ignorado
vírus.
Solução: use o Azure Active Directory para impor a autenticação multifator para acesso à
máquina virtual.
Sim
No
(Correto)
Explicação
Usar o Azure Active Directory para impor a autenticação multifator para acesso à máquina virtual
também é incorreto porque aborda apenas o controle de acesso e não fornece proteção contra
malware.
MFA Azure AD: https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-

mfa-howitworks
Pergunta 35:
Ignorado
Qual é o benefício de usar o Secure Score para avaliar a postura de segurança?
Ele fornece uma referência para comparar a postura de segurança com outras
organizações
Ajuda a identificar lacunas nos controles de segurança e fornece recomendações para

melhorias
(Correto)
Ele fornece uma análise abrangente de todos os controles de segurança em vigor
Garante o cumprimento de todos os requisitos regulamentares

Explicação
Usar o Secure Score para avaliar a postura de segurança pode ajudar a identificar lacunas nos
controles de segurança e fornecer recomendações para melhorias. Isso pode ajudar as
organizações a melhorar sua postura geral de segurança e reduzir o risco de incidentes de
segurança.
Link da documentação: https://learn.microsoft.com/en-us/azure/defender-for-cloud/secure-

score-security-controls
Pergunta 36:
Ignorado
Sua organização está migrando para o Microsoft 365 e você precisa garantir que seus aplicativos
de nuvem estejam seguros. Qual das seguintes soluções de segurança da Microsoft fornece
detecção automática e bloqueio de atividades maliciosas no Office 365?
Proteção Avançada contra Ameaças do Azure
Segurança de aplicativos em nuvem da Microsoft
•
Microsoft Defender para aplicativos de nuvem
(Correto)
Explicação
O Microsoft Defender for Cloud Apps é uma solução de segurança nativa da nuvem que fornece
detecção automática e bloqueio de atividades maliciosas no Office 365.
O Microsoft Defender for Cloud é uma solução de gerenciamento de postura de segurança em

nuvem que ajuda a prevenir, detectar e responder a ameaças em seus recursos do Azure.
A Proteção Avançada contra Ameaças do Azure é uma solução de segurança baseada em nuvem
que ajuda a identificar e investigar ameaças avançadas em ambientes locais, híbridos e de
nuvem. O Microsoft Cloud App Security é um agente de segurança de acesso à nuvem que
fornece visibilidade, controle e proteção para seus aplicativos na nuvem.
Você pode aprender mais sobre o Microsoft Defender for Cloud Apps
aqui: https://docs.microsoft.com/en-us/cloud-app-security/defender-for-cloud-apps/defender-for-
cloud-apps .
Pergunta 37:
Ignorado
Sua empresa está adotando práticas de DevSecOps usando o Microsoft Cloud Adoption
Framework para Azure e você precisa integrar o teste de segurança de aplicativo estático (SAST)
em seu pipeline de CI/CD. Qual dos seguintes estágios no pipeline é o local mais apropriado para
incorporar o SAST?
Construir e testar
Confirme o código
(Correto)
Ir para produção
Planejar e desenvolver
Operar
Explicação
Construir e testar: esta etapa normalmente se concentra na compilação e teste do código e pode
não ser o melhor lugar para incorporar tarefas SAST, pois o código ainda não está integrado ao
sistema.
Confirme o código: esta etapa envolve a confirmação do código para um sistema de controle de
versão e é um local ideal para executar o SAST, pois ele pode detectar qualquer vulnerabilidade de
segurança no código antes de ser mesclado com a base de código principal.
Vá para a produção: esta etapa envolve a implantação do código no ambiente de produção e não
é o local ideal para executar o SAST, pois pode interromper a operação do aplicativo.
Operar: esta etapa envolve o monitoramento e a manutenção do aplicativo no ambiente de

produção e não é uma etapa apropriada para incorporar o SAST.
Planejar e desenvolver: esta etapa envolve planejar e projetar o aplicativo e pode não ser o melhor
lugar para incorporar o SAST, pois pode não ser relevante nesta fase.
Portanto, "Confirmar o código" é o estágio mais apropriado para incorporar tarefas SAST no
pipeline de CI/CD.
Mais informações: https://learn.microsoft.com/en-us/azure/cloud-adoption-

framework/secure/devsecops-controls
Pergunta 38:
Ignorado
Sua organização está usando os serviços do Azure e você precisa monitorar seu desempenho e
integridade. Qual das opções a seguir é um recurso importante do Azure Monitor?
Configuração automática de recursos do Azure para otimização de desempenho
Monitoramento em tempo real dos recursos do Azure para ameaças de segurança
Integração com o Azure Active Directory para gerenciamento de identidade e acesso
Log, métricas e alertas centralizados para recursos do Azure
(Correto)
Explicação
O Azure Monitor é uma solução de monitoramento nativa da nuvem que fornece log, métricas e
alertas centralizados para recursos do Azure. Ele ajuda você a identificar e diagnosticar
problemas em seus aplicativos e infraestrutura, fornecendo uma visão unificada de desempenho
e integridade. A configuração automática de recursos do Azure para otimização de desempenho
não é um recurso do Azure Monitor, mas pode ser obtida usando o Azure Advisor. O
monitoramento em tempo real dos recursos do Azure para ameaças de segurança é um recurso
do Microsoft Defender for Cloud. A integração com o Azure Active Directory para gerenciamento
de identidade e acesso é um recurso do Azure Active Directory, não do Azure Monitor.
Você pode aprender mais sobre o Azure Monitor aqui: https://docs.microsoft.com/en-
us/azure/azure-monitor/ .
Pergunta 39:
Ignorado
Qual é a finalidade de uma política de WAF (Firewall do Aplicativo Web do Azure)?
Para permitir que todo o tráfego passe pelo firewall
Para impedir que todo o tráfego passe pelo firewall
Para permitir algum tráfego através do firewall com base em regras pré-definidas
(Correto)
Para monitorar o tráfego que passa pelo firewall sem bloquear nenhum tráfego
Explicação
Uma política de WAF (Firewall do Aplicativo Web do Azure) permite algum tráfego por meio do
firewall com base em regras predefinidas. Ele ajuda a proteger aplicativos da Web contra ataques
comuns da Web, como injeção de SQL, script entre sites (XSS) e solicitações de falsificação entre
sites (CSRF).
Documentação do Azure sobre políticas WAF: https://learn.microsoft.com/en-us/azure/web-

application-firewall/ag/policy-overview
Pergunta 40:
Ignorado
O que é uma revisão de acesso no Azure Active Directory?
Um recurso que permite aos administradores delegar o gerenciamento de permissões
Uma ferramenta que concede permissões automaticamente aos usuários
Um recurso que permite aos usuários gerenciar suas próprias permissões
•
Um processo que permite aos administradores revisar e validar o acesso dos usuários aos
recursos
(Correto)
Explicação
A revisão de acesso é um recurso do Azure Active Directory que permite aos administradores
revisar e validar o acesso dos usuários aos recursos. Ele permite que as organizações revisem
regularmente os direitos de acesso e certifiquem-se de que os usuários tenham acesso apenas
aos recursos de que precisam para realizar seu trabalho.
Link da documentação: https://docs.microsoft.com/en-us/azure/active-

directory/governance/access-reviews-overview

SC-100 Teste 3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SC-100 Teste 3

Enviado por

Direitos autorais:

Formatos disponíveis

Pergunta 1:

Monitoramento em tempo real dos recursos do Azure para ameaças de segurança

Detecção automática e bloqueio de atividades maliciosas

Integração com o Microsoft Sentinel para gerenciamento de segurança unificado

Gerenciamento automatizado de patches para recursos do Azure

Você pode aprender mais sobre o Microsoft Defender for Cloud

Webhooks do Azure Monitor

Aplicativos do Azure Functions

Aplicativos Lógicos do Azure

Análise de Fluxo do Azure

Cada resposta correta apresenta uma solução completa.

Implante o firewall na borda da rede corporativa

Habilitar política para bloquear a autenticação herdada

Ativar registro para investigação de segurança

Monitore anomalias e ameaças direcionadas a dados confidenciais

Modelagem de ameaças OWASP

Grupos de segurança de rede

Você pode aprender mais sobre os recursos do Network Watcher aqui:

Conector de dados do Microsoft Sentinel

Centros de Eventos do Azure

Documentação dos Hubs de Eventos do Azure:

Azure Active Directory

Microsoft Defender para nuvem

Azure AD Privileged Identity Management (PIM)

Autenticação multifator (MFA) do Azure AD

Proteção de identidade do Azure AD

A autenticação multifator (MFA) do Azure AD é um recurso de segurança que exige que os

Azure Key Vault

Gerenciador de Tráfego do Azure

Azure Active Directory

Gerenciamento de API do Azure

O Azure Active Directory é um serviço de gerenciamento de identidade e acesso baseado em

Serviços de domínio do Azure AD

Proxy de aplicativo do Azure AD

Para obter mais informações sobre o Azure AD Connect, consulte a documentação do

O AAD DS permite que máquinas ingressadas no domínio se autentiquem no Azure AD e

O AAD DS fornece um serviço de domínio totalmente gerenciado compatível com o

AAD DS é usado para gerenciar identidades de usuários no Azure e no local

Verificador de conformidade de segurança (SCC)

Assistente de configuração de segurança (SCW)

Configuração do estado desejado do PowerShell (DSC)

O verificador de conformidade de segurança (SCC) é uma resposta incorreta porque é uma

O Assistente de configuração de segurança (SCW) é uma resposta incorreta porque é uma

A configuração de estado desejado (DSC) do PowerShell é uma resposta incorreta porque é um

Fonte: Microsoft Docs - Microsoft Security Compliance Toolkit:

Habilitar criptografia em repouso para a conta de armazenamento

Implemente o Link Privado do Azure para a conta de armazenamento

Configurar regras de firewall para a conta de armazenamento

Habilitar criptografia em repouso para a conta de armazenamento está incorreto porque

Pontos de extremidade de serviço de rede virtual

Link privado do Azure

porta da frente azul

Os pontos de extremidade do serviço de rede virtual estão incorretos porque fornecem

Compartilhe toda a conta de armazenamento com os fornecedores, mas revogue o acesso

A criação de uma nova conta de armazenamento é desnecessária e pode levar a sobrecarga

Compartilhar toda a conta de armazenamento com os fornecedores anula o objetivo de

A criação de assinaturas de acesso compartilhado (SAS) é a abordagem recomendada para

Desligue o computador ou dispositivo que foi afetado pelo ataque de ransomware.

Pague imediatamente o resgate exigido pelo invasor.

Crie uma nova assinatura do Microsoft 365 e comece do zero.

Desative a sincronização do Microsoft OneDrive e o Exchange ActiveSync.

Desligar o computador ou dispositivo afetado pelo ataque de ransomware pode interromper a

Para obter mais informações, consulte o guia de práticas recomendadas de segurança da