Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Defender para Nuvem usa um algoritmo proprietary para localizar possíveis caminhos de ataque específicos para seu ambiente multinuvem. Defender para Nuvem se concentra em ameaças reais, externamente orientadas e exploráveis, em vez de cenários amplos. O algoritmo detecta caminhos de ataque que começam fora de sua organização e avançam para destinos comercialmente críticos, ajudando você a reduzir o ruído e agir mais rapidamente.
Você pode usar a análise do caminho de ataque para resolver os problemas de segurança que representam ameaças imediatas e têm o maior potencial de exploração no seu ambiente. Defender para Nuvem analisa quais problemas de segurança fazem parte de caminhos de ataque expostos externamente que os invasores podem usar para violar seu ambiente. Ela também destaca as recomendações de segurança que você precisa resolver para mitigar esses problemas.
Por padrão, os caminhos de ataque são organizados por nível de risco. O nível de risco é determinado por um mecanismo de priorização de risco com reconhecimento de contexto que considera os fatores de risco de cada recurso. Saiba mais sobre como Defender para Nuvem prioritiza as recomendações de segurança.
Observação
Este recurso está na versão preview no momento.
Para obter detalhes sobre as lacunas e restrições atuais, consulte limitações conhecidas.
Pré-requisitos
Você deve habilitar o Gerenciamento de Postura de Segurança na Nuvem do Defender (CSPM) e ter a verificação sem agente habilitada.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Observação
Você pode ver uma página vazia do Caminho de Ataque, pois os caminhos de ataque agora se concentram em ameaças reais, controladas externamente e exploráveis, em vez de cenários amplos. Isso ajuda a reduzir o ruído e priorizar riscos iminentes.
Para ver os caminhos de ataque relacionados a contêineres:
Você deve habilitar a extensão de postura de contêiner sem agente no GPSN do Defender ou
Você pode enable Defender for Containers e instalar os agentes relevantes para exibir caminhos de ataque relacionados a contêineres. Isso também permitirá a você consultar as cargas de trabalho do plano de dados de contêineres no Security Explorer.
Funções e permissões necessárias: Leitor de Segurança, Administrador de Segurança, Leitor, Colaborador ou Proprietário.
Identificar caminhos de ataque
Você pode usar a análise de caminho de ataque para localizar os maiores riscos ao ambiente e corrigi-los.
A página de caminho de ataque mostra uma visão geral de todos os caminhos de ataque. Você também pode ver os recursos afetados e uma lista de caminhos de ataque ativos.
Para identificar caminhos de ataque no portal Azure:
Entre no portal Azure.
Navegue até Microsoft Defender para Nuvem>Análise do caminho de ataque.
Selecione um caminho de ataque.
Selecione um nó.
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja detalhes completos do caminho de ataque. Esse é o comportamento esperado projetado para proteger dados confidenciais. Para exibir todos os detalhes, verifique se você tem as permissões necessárias.
Selecione Insight para exibir os insights associados a esse nó.
Selecione Recomendações.
Selecione uma recomendação.
Para identificar caminhos de ataque no portal Defender:
Entre no portal Microsoft Defender.
Navegue até Gerenciamento de Exposição>Superfície de Ataque>Caminhos de Ataque. Você verá uma visão geral de seus caminhos de ataque.
A experiência de caminhos de ataque fornece várias vistas.
- Guia Visão geral: Exibir trajetórias de ataque ao longo do tempo, principais pontos críticos, os cinco principais cenários de trajetórias de ataque, os principais alvos e os principais pontos de acesso.
- Lista de caminhos de ataque: exibição dinâmica e filtrada de todos os caminhos de ataque com funcionalidades avançadas de filtragem
- Pontos de estrangulamento: lista de nós em que vários caminhos de ataque convergem, sinalizados como gargalos de alto risco
Observação
No portal Defender, a análise do caminho de ataque faz parte dos recursos mais amplos do Gerenciamento de Exposições, fornecendo integração aprimorada com outras soluções de segurança Microsoft e correlação unificada de incidentes.
Selecione a guia Caminhos de ataque .
Use a filtragem avançada na lista de caminhos de ataque para se concentrar em caminhos de ataque específicos:
- Nível de risco: filtrar por caminhos de ataque de alto, médio ou baixo risco
- Tipo de ativo: concentre-se em tipos de recursos específicos
- Status de correção: exibir caminhos de ataque resolvidos, em andamento ou pendentes
- Período de tempo: filtrar por períodos de tempo específicos (por exemplo, últimos 30 dias)
Selecione um caminho de ataque para visualizar o Mapa de Caminho de Ataque, uma representação gráfica destacada:
- Nós vulneráveis: recursos com problemas de segurança
- Pontos de entrada: pontos de acesso externos em que os ataques podem começar
- Ativos de destino: Recursos críticos que os atacantes estão tentando alcançar
- Pontos de estrangulamento: pontos de convergência nos quais vários caminhos de ataque se cruzam
Selecione um nó para investigar informações detalhadas:
Observação
Se você tiver permissões limitadas, especialmente entre assinaturas, talvez não veja detalhes completos do caminho de ataque. Esse é o comportamento esperado projetado para proteger dados confidenciais. Para exibir todos os detalhes, verifique se você tem as permissões necessárias.
Examine os detalhes do nó, incluindo:
- Táticas e técnicas do MITRE ATT&CK: Noções básicas sobre a metodologia de ataque
- Fatores de risco: fatores ambientais que contribuem para o risco
- Recomendações associadas: melhorias de segurança para atenuar o problema
Selecione Insight para exibir os insights associados a esse nó.
Selecione Recomendações para ver diretrizes acionáveis com controle de status de correção.
Selecione uma recomendação.
-
Depois de concluir a investigação de um caminho de ataque e examinar todas as conclusões e recomendações associadas, você poderá começar a corrigi-lo.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Corrigir caminhos de ataque
Depois de concluir a investigação de um caminho de ataque e examinar todas as conclusões e recomendações associadas, você poderá começar a corrigi-lo.
Para corrigir um caminho de ataque no portal do Azure:
Navegue até Microsoft Defender para Nuvem>análise de caminho de ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Corrigir todas as recomendações dentro de um caminho de ataque
A análise do caminho de ataque também oferece a capacidade de ver todas as recomendações classificadas por caminho de ataque, sem que você precise verificar cada nó individualmente. Você pode resolver todas as recomendações, sem a necessidade de exibir cada nó individualmente.
O caminho de correção contém dois tipos de recomendação:
- Recomendações – Recomendações que atenuam o caminho de ataque.
- Recomendações adicionais – recomendações que reduzem os riscos de exploração, mas não reduzem o caminho de ataque.
Para resolver todas as recomendações no portal Azure:
Entre no portal Azure.
Navegue até Microsoft Defender para Nuvem>Análise do caminho de ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Expanda as Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Para resolver todas as recomendações no portal Defender:
Entre no portal Microsoft Defender.
Navegue para Gerenciamento de Exposição>Análise do Caminho de Ataque.
Selecione um caminho de ataque.
Selecionar Correção.
Observação
O portal Defender fornece controle aprimorado do progresso da correção e pode correlacionar atividades de correção com operações de segurança mais amplas e fluxos de trabalho de gerenciamento de incidentes.
Expanda as Recomendações adicionais.
Selecione uma recomendação.
Depois que um caminho de ataque é resolvido, pode levar até 24 horas para que ele seja removido da lista.
Funcionalidades avançadas de gerenciamento de exposição
O portal Defender fornece recursos adicionais para análise de caminho de ataque por meio de sua estrutura integrada de Gerenciamento de Exposições:
- A correlação de incidentes unificados: Os caminhos de ataque são correlacionados automaticamente com incidentes de segurança no seu ecossistema de segurança da Microsoft.
- Insights de vários produtos: os dados dos caminhos de ataque são integrados às descobertas do Microsoft Defender para Ponto de Extremidade, do Microsoft Sentinel e de outras soluções de segurança da Microsoft.
- Advanced threat intelligence: Contexto aprimorado dos feeds de inteligência de ameaças da Microsoft para entender melhor os padrões de ataque e os comportamentos dos agentes.
- Fluxos de trabalho de correção integrados: processos de correção simplificados que podem disparar respostas automatizadas em várias ferramentas de segurança.
- Relatórios executivos: recursos de relatórios aprimorados para liderança de segurança com avaliações de impacto nos negócios.
Esses recursos fornecem uma visão mais abrangente de sua postura de segurança e permitem uma resposta mais eficaz a possíveis ameaças identificadas por meio da análise do caminho de ataque.
Saiba mais sobre caminhos de ataque em Defender para Nuvem.