Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Defender for Cloud usa um algoritmo proprietário para localizar possíveis caminhos de ataque específicos para seu ambiente multicloud. O Defender for Cloud foca-se em ameaças reais, externas e exploráveis, em vez de cenários amplos. O algoritmo deteta caminhos de ataque que começam fora da sua organização e progridem para alvos críticos para os negócios, ajudando-o a eliminar o ruído e a agir mais rapidamente.
Você pode usar a análise de caminho de ataque para resolver problemas de segurança que representam ameaças imediatas e têm o maior potencial de exploração em seu ambiente. O Defender for Cloud analisa quais os problemas de segurança que fazem parte de caminhos de ataque externos expostos que os atacantes podem usar para invadir o seu ambiente. Ele também destaca as recomendações de segurança que você precisa resolver para mitigar esses problemas.
Por padrão, os caminhos de ataque são organizados por nível de risco. O nível de risco é determinado por um mecanismo de priorização de risco sensível ao contexto que considera os fatores de risco de cada recurso. Saiba mais sobre como o Defender for Cloud prioriza as recomendações de segurança.
Observação
Esta capacidade está atualmente em pré-visualização.
Para detalhes sobre lacunas e restrições atuais, consulte Limitações conhecidas.
Pré-requisitos
Você deve habilitar o Defender Cloud Security Posture Management (CSPM) e ter a verificação sem agente habilitada.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Observação
Pode ver uma página de Caminho de Ataque vazia, pois os caminhos de ataque agora focam-se em ameaças reais, externas e exploráveis, em vez de cenários amplos. Isso ajuda a reduzir o ruído e priorizar riscos iminentes.
Para exibir caminhos de ataque relacionados a contêineres:
Você deve habilitar a extensão de postura de contêiner sem agente no Defender CSPM ou
Você pode habilitar o Defender for Containers e instalar os agentes relevantes para exibir caminhos de ataque relacionados a contêineres. Isso também oferece a capacidade de consultar cargas de trabalho de plano de dados de contêineres no security explorer.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Identificar caminhos de ataque
Você pode usar a análise de caminho de ataque para localizar os maiores riscos ao seu ambiente e corrigi-los.
A página de caminho de ataque mostra uma visão geral de todos os seus caminhos de ataque. Você também pode ver seus recursos afetados e uma lista de caminhos de ataque ativos.
Para identificar caminhos de ataque no portal Azure:
Inicie sessão no portal do Azure.
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione um nó.
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja os detalhes completos do caminho de ataque. Este é um comportamento esperado projetado para proteger dados confidenciais. Para ver todos os detalhes, certifique-se de que tem as permissões necessárias.
Selecione Insight para visualizar os insights associados a esse nó.
Selecione Recomendações.
Selecione uma recomendação.
Para identificar caminhos de ataque no portal Defender:
Inicie sessão no portal Microsoft Defender.
Navegue para Gestão de Exposição>Superfície de Ataque>Caminhos de Ataques. Verás uma visão geral dos teus caminhos de ataque.
A experiência dos caminhos de ataque oferece múltiplas perspetivas:
- Separador de visão geral: Ver caminhos de ataque ao longo do tempo, 5 pontos de estrangulamento principais, 5 cenários principais de caminhos de ataque, principais alvos e principais pontos de entrada
- Lista de caminhos de ataque: Vista dinâmica e filtrável de todos os caminhos de ataque com capacidades avançadas de filtragem
- Pontos de estrangulamento: Lista de nós onde múltiplos caminhos de ataque convergem, assinalados como gargalos de alto risco
Observação
No portal Defender, a análise do caminho de ataque faz parte das capacidades mais amplas de Gestão de Exposição, proporcionando uma integração melhorada com outras soluções de segurança da Microsoft e correlação unificada de incidentes.
Selecione o separador Caminhos de Ataque .
Use filtragem avançada na lista de caminhos de ataque para focar em caminhos de ataque específicos:
- Nível de risco: Filtrar por caminhos de ataque de Alto, Médio ou Baixo Risco
- Tipo de ativo: Foque em tipos específicos de recursos
- Estado da remediação: Ver caminhos de ataque resolvidos, em curso ou pendentes
- Período temporal: Filtrar por períodos específicos (por exemplo, últimos 30 dias)
Selecione um caminho de ataque para visualizar o Mapa do Caminho de Ataque, uma vista baseada em gráficos que destaca:
- Nós vulneráveis: Recursos com problemas de segurança
- Pontos de entrada: Pontos de acesso externos onde podem começar ataques
- Ativos-alvo: Recursos críticos que os atacantes tentam alcançar
- Pontos de estrangulamento: Pontos de convergência onde múltiplos caminhos de ataque se cruzam
Selecione um nó para investigar informações detalhadas:
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja os detalhes completos do caminho de ataque. Este é um comportamento esperado projetado para proteger dados confidenciais. Para ver todos os detalhes, certifique-se de que tem as permissões necessárias.
Revise detalhes dos nós, incluindo:
Táticas e técnicas MITRE ATT&CK : Entender a metodologia de ataque- Fatores de risco: Fatores ambientais que contribuem para o risco
- Recomendações associadas: Melhorias de segurança para mitigar o problema
Selecione Insight para visualizar os insights associados a esse nó.
Selecione Recomendações para ver orientações acionáveis com acompanhamento do estado da remediação.
Selecione uma recomendação.
-
Depois de concluir a investigação de um caminho de ataque e revisar todas as descobertas e recomendações associadas, você poderá começar a corrigir o caminho de ataque.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.
Remediar caminhos de ataque
Depois de concluir a investigação de um caminho de ataque e revisar todas as descobertas e recomendações associadas, você poderá começar a corrigir o caminho de ataque.
Para remediar um caminho de ataque no portal Azure:
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione Remediação.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.
Corrigir todas as recomendações dentro de um caminho de ataque
A análise de caminho de ataque concede a capacidade de ver todas as recomendações por caminho de ataque sem ter que verificar cada nó individualmente. Você pode resolver todas as recomendações sem ter que visualizar cada nó individualmente.
O caminho de remediação contém dois tipos de recomendação:
- Recomendações - Recomendações que atenuam o caminho de ataque.
- Recomendações adicionais - Recomendações que reduzem os riscos de exploração, mas não mitigam o caminho de ataque.
Para resolver todas as recomendações no portal Azure:
Inicie sessão no portal do Azure.
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione Remediação.
Expanda Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.
Para resolver todas as recomendações do portal Defender:
Inicie sessão no portal Microsoft Defender.
Navegue para Gestão de Exposição>Análise do caminho de ataques.
Selecione um caminho de ataque.
Selecione Remediação.
Observação
O portal Defender proporciona um acompanhamento melhorado do progresso da remediação e pode correlacionar as atividades de remediação com fluxos de trabalho mais amplos de operações de segurança e gestão de incidentes.
Expanda Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.
Capacidades melhoradas de gestão de exposição
O portal Defender oferece capacidades adicionais para análise de caminhos de ataque através do seu framework integrado de Gestão de Exposição:
- Correlação unificada de incidentes: Os caminhos de ataque são automaticamente correlacionados com incidentes de segurança em todo o seu ecossistema de segurança Microsoft.
- Informações cruzadas entre produtos: Os dados dos caminhos de ataque estão integrados às descobertas do Microsoft Defender for Endpoint, Microsoft Sentinel e de outras soluções de segurança da Microsoft.
- Inteligência avançada de ameaças: Contexto melhorado dos feeds de inteligência de ameaças da Microsoft para compreender melhor padrões de ataque e comportamentos dos intervenientes.
- Fluxos de trabalho integrados de remediação: Processos de remediação simplificados que podem desencadear respostas automáticas através de múltiplas ferramentas de segurança.
- Relatórios executivos: Capacidades melhoradas de reporte para a liderança em segurança com avaliações de impacto empresarial.
Estas capacidades proporcionam uma visão mais abrangente da sua postura de segurança e permitem uma resposta mais eficaz a potenciais ameaças identificadas através da análise do caminho de ataque.
Saiba mais sobre caminhos de ataque no Defender for Cloud.
Passo Seguinte
Crie consultas com o explorador de segurança na nuvem.