Identificar e remediar caminhos de ataque
Os recursos de segurança contextual do Defender for Cloud auxiliam as equipes de segurança na redução do risco de violações impactantes. O Defender for Cloud usa o contexto do ambiente para realizar uma avaliação de risco de seus problemas de segurança. O Defender for Cloud identifica os maiores problemas de risco de segurança, ao mesmo tempo que os distingue dos problemas menos arriscados.
A análise de caminho de ataque ajuda você a resolver os problemas de segurança que representam ameaças imediatas com o maior potencial de serem exploradas em seu ambiente. O Defender for Cloud analisa quais problemas de segurança fazem parte de possíveis caminhos de ataque que os invasores podem usar para invadir seu ambiente. Ele também destaca as recomendações de segurança que precisam ser resolvidas para mitigá-lo.
Por padrão, os caminhos de ataque são organizados por seu nível de risco. O nível de risco é determinado por um mecanismo de priorização de risco sensível ao contexto que considera os fatores de risco de cada recurso. Saiba mais sobre como o Defender for Cloud prioriza as recomendações de segurança.
Pré-requisitos
Você deve habilitar o Defender Cloud Security Posture Management (CSPM) e ter a verificação sem agente habilitada.
- Você deve habilitar o Defender for Server P1 (que inclui MDVM) ou o Defender for Server P2 (que inclui MDVM e Qualys).
Para exibir caminhos de ataque relacionados a contêineres:
Você deve habilitar a extensão de postura de contêiner sem agente no Defender CSPM ou
Você pode habilitar o Defender for Containers e instalar os agentes relevantes para exibir caminhos de ataque relacionados a contêineres. Isso também oferece a capacidade de consultar cargas de trabalho de plano de dados de contêineres no security explorer.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Identificar caminhos de ataque
A página de caminho de ataque mostra uma visão geral de todos os seus caminhos de ataque. Você também pode ver seus recursos afetados e uma lista de caminhos de ataque ativos.
Você pode usar a análise de caminho de ataque para localizar os maiores riscos ao seu ambiente e corrigi-los.
Para identificar caminhos de ataque:
Inicie sessão no portal do Azure.
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione um nó.
Selecione Insight para visualizar os insights associados a esse nó.
Selecione Recomendações.
Selecione uma recomendação.
Remediar caminhos de ataque
Depois de investigar um caminho de ataque e revisar todas as descobertas e recomendações associadas, você pode começar a corrigir o caminho de ataque.
Para corrigir um caminho de ataque:
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione Remediação.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.
Corrigir todas as recomendações dentro de um caminho de ataque
A análise de caminho de ataque concede a capacidade de ver todas as recomendações por caminho de ataque sem ter que verificar cada nó individualmente. Você pode resolver todas as recomendações sem ter que visualizar cada nó individualmente.
O caminho de remediação contém dois tipos de recomendação:
- Recomendações - Recomendações que atenuam o caminho de ataque.
- Recomendações adicionais - Recomendações que reduzem os riscos de exploração, mas não atenuam o caminho de ataque.
Para resolver todas as recomendações:
Inicie sessão no portal do Azure.
Navegue até Análise de caminho do Microsoft Defender for Cloud>Attack.
Selecione um caminho de ataque.
Selecione Remediação.
Expanda Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que um caminho de ataque seja removido da lista.