Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Defender para Nuvem usa um algoritmo proprietário para localizar possíveis caminhos de ataque específicos do seu ambiente multinuvem. O Defender para Nuvem concentra-se em ameaças reais, controladas externamente e exploráveis, em vez de cenários amplos. O algoritmo detecta caminhos de ataque que começam fora de sua organização e avançam para destinos comercialmente críticos, ajudando você a reduzir o ruído e agir mais rapidamente.
Você pode usar a análise do caminho de ataque para resolver os problemas de segurança que representam ameaças imediatas e têm o maior potencial de exploração no seu ambiente. O Defender para Nuvem analisa quais problemas de segurança fazem parte de caminhos de ataque expostos externamente que os invasores podem usar para violar seu ambiente. Ela também destaca as recomendações de segurança que você precisa resolver para mitigar esses problemas.
Por padrão, os caminhos de ataque são organizados por nível de risco. O nível de risco é determinado por um mecanismo de priorização de risco com reconhecimento de contexto que considera os fatores de risco de cada recurso. Saiba mais sobre como o Defender para Nuvem prioriza as recomendações de segurança.
Observação
Este recurso está na versão preview no momento.
Para obter detalhes sobre as lacunas e restrições atuais, consulte limitações conhecidas.
Pré-requisitos
Você precisa habilitar o Gerenciamento de Postura de Segurança na Nuvem (GPSN) e ter a verificação sem agente habilitada.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Observação
Você pode ver uma página vazia do Caminho de Ataque, pois os caminhos de ataque agora se concentram em ameaças reais, controladas externamente e exploráveis, em vez de cenários amplos. Isso ajuda a reduzir o ruído e priorizar riscos iminentes.
Para ver os caminhos de ataque relacionados a contêineres:
Você precisa habilitar a extensão de postura de contêiner sem agente no GPSN do Defender ou
Você pode habilitar o Defender para Contêineres e instalar os agentes relevantes para ver os caminhos de ataque relacionados aos contêineres. Isso também permitirá a você consultar as cargas de trabalho do plano de dados de contêineres no Security Explorer.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Identificar caminhos de ataque
Você pode usar a análise de caminho de ataque para localizar os maiores riscos ao ambiente e corrigi-los.
A página de caminho de ataque mostra uma visão geral de todos os caminhos de ataque. Você também pode ver os recursos afetados e uma lista de caminhos de ataque ativos.
Para identificar caminhos de ataque no portal do Azure:
Entre no Portal do Azure.
Navegue até Microsoft Defender para Nuvem>Análise do caminho de ataque.
Selecione um caminho de ataque.
Selecione um nó.
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja detalhes completos do caminho de ataque. Esse é o comportamento esperado projetado para proteger dados confidenciais. Para exibir todos os detalhes, verifique se você tem as permissões necessárias.
Selecione Insight para exibir os insights associados a esse nó.
Selecione Recomendações.
Selecione uma recomendação.
Para identificar caminhos de ataque no portal do Defender:
Inicie uma sessão no portal do Microsoft Defender.
Navegue até Gerenciamento de Exposição>Superfície de Ataque>Caminhos de Ataque. Você verá uma visão geral de seus caminhos de ataque.
A experiência de caminhos de ataque fornece várias vistas.
- Guia Visão geral: Exibir trajetórias de ataque ao longo do tempo, principais pontos críticos, os cinco principais cenários de trajetórias de ataque, os principais alvos e os principais pontos de acesso.
- Lista de caminhos de ataque: exibição dinâmica e filtrada de todos os caminhos de ataque com funcionalidades avançadas de filtragem
- Pontos de estrangulamento: lista de nós em que vários caminhos de ataque convergem, sinalizados como gargalos de alto risco
Observação
No portal do Defender, a análise do caminho de ataque faz parte dos recursos mais amplos do Gerenciamento de Exposições, fornecendo integração aprimorada com outras soluções de segurança da Microsoft e correlação unificada de incidentes.
Selecione a guia Caminhos de ataque .
Use a filtragem avançada na lista de caminhos de ataque para se concentrar em caminhos de ataque específicos:
- Nível de risco: filtrar por caminhos de ataque de alto, médio ou baixo risco
- Tipo de ativo: concentre-se em tipos de recursos específicos
- Status de correção: exibir caminhos de ataque resolvidos, em andamento ou pendentes
- Período de tempo: filtrar por períodos de tempo específicos (por exemplo, últimos 30 dias)
Selecione um caminho de ataque para visualizar o Mapa de Caminho de Ataque, uma representação gráfica destacada:
- Nós vulneráveis: recursos com problemas de segurança
- Pontos de entrada: pontos de acesso externos em que os ataques podem começar
- Ativos de destino: Recursos críticos que os atacantes estão tentando alcançar
- Pontos de estrangulamento: pontos de convergência nos quais vários caminhos de ataque se cruzam
Selecione um nó para investigar informações detalhadas:
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja detalhes completos do caminho de ataque. Esse é o comportamento esperado projetado para proteger dados confidenciais. Para exibir todos os detalhes, verifique se você tem as permissões necessárias.
Examine os detalhes do nó, incluindo:
- Táticas e técnicas do MITRE ATT&CK: Noções básicas sobre a metodologia de ataque
- Fatores de risco: fatores ambientais que contribuem para o risco
- Recomendações associadas: melhorias de segurança para atenuar o problema
Selecione Insight para exibir os insights associados a esse nó.
Selecione Recomendações para ver diretrizes acionáveis com controle de status de correção.
Selecione uma recomendação.
-
Depois de concluir a investigação de um caminho de ataque e examinar todas as conclusões e recomendações associadas, você poderá começar a corrigi-lo.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Corrigir caminhos de ataque
Depois de concluir a investigação de um caminho de ataque e examinar todas as conclusões e recomendações associadas, você poderá começar a corrigi-lo.
Para corrigir um caminho de ataque no portal do Azure:
Navegue até Microsoft Defender para Nuvem>Análise do caminho de ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Corrigir todas as recomendações dentro de um caminho de ataque
A análise do caminho de ataque também oferece a capacidade de ver todas as recomendações classificadas por caminho de ataque, sem que você precise verificar cada nó individualmente. Você pode resolver todas as recomendações, sem a necessidade de exibir cada nó individualmente.
O caminho de correção contém dois tipos de recomendação:
- Recomendações – Recomendações que atenuam o caminho de ataque.
- Recomendações adicionais – recomendações que reduzem os riscos de exploração, mas não reduzem o caminho de ataque.
Para resolver todas as recomendações no portal do Azure:
Entre no Portal do Azure.
Navegue até Microsoft Defender para Nuvem>Análise do caminho de ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Expanda as Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Para resolver todas as recomendações no portal do Defender:
Inicie uma sessão no portal do Microsoft Defender.
Navegue para Gerenciamento de Exposição>Análise do Caminho de Ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Observação
O portal do Defender fornece um acompanhamento aprimorado do progresso da correção e pode correlacionar atividades de correção com operações de segurança mais amplas e fluxos de trabalho de gerenciamento de incidentes.
Expanda as Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Funcionalidades avançadas de gerenciamento de exposição
O portal do Defender fornece recursos adicionais para análise de caminho de ataque por meio de sua estrutura integrada de Gerenciamento de Exposições:
- Correlação unificada de incidentes: os caminhos de ataque são correlacionados automaticamente com incidentes de segurança em seu ecossistema de segurança da Microsoft.
- Insights de vários produtos: os dados dos caminhos de ataque são integrados às descobertas do Microsoft Defender para Ponto de Extremidade, do Microsoft Sentinel e de outras soluções de segurança da Microsoft.
- Inteligência avançada contra ameaças: contexto aprimorado dos feeds de inteligência contra ameaças da Microsoft para entender melhor os padrões de ataque e os comportamentos do ator.
- Fluxos de trabalho de correção integrados: processos de correção simplificados que podem disparar respostas automatizadas em várias ferramentas de segurança.
- Relatórios executivos: recursos de relatórios aprimorados para liderança de segurança com avaliações de impacto nos negócios.
Esses recursos fornecem uma visão mais abrangente de sua postura de segurança e permitem uma resposta mais eficaz a possíveis ameaças identificadas por meio da análise do caminho de ataque.
Saiba mais sobre caminhos de ataque no Defender para Nuvem.