Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a esta recomendação de lista de verificação de segurança do Azure Well-Architected Framework:
| SE:10 | Implementar uma estratégia de monitoramento holística que se baseia em mecanismos modernos de deteção de ameaças que podem ser integrados à plataforma. Os mecanismos devem alertar de forma confiável para triagem e enviar sinais para os processos SecOps existentes. |
|---|
Este guia descreve as recomendações para monitoramento e deteção de ameaças. O monitoramento é fundamentalmente um processo de obtenção de informações sobre eventos que já ocorreram. O monitoramento de segurança é uma prática de captura de informações em diferentes altitudes da carga de trabalho (infraestrutura, aplicativo, operações) para ganhar consciência de atividades suspeitas. O objetivo é prever incidentes e aprender com eventos passados. Os dados de monitoramento fornecem a base da análise pós-incidente do que ocorreu para ajudar na resposta a incidentes e nas investigações forenses.
O monitoramento é uma abordagem de Excelência Operacional que é aplicada em todos os pilares do Well-Architected Framework. Este guia fornece recomendações apenas do ponto de vista da segurança. Conceitos gerais de monitoramento, como instrumentação de código, coleta de dados e análise, estão fora do escopo deste guia. Para obter informações sobre os principais conceitos de monitoramento, consulte Recomendações para projetar e criar uma estrutura de observabilidade.
Definições
| Term | Definition |
|---|---|
| Registos de auditoria | Um registro de atividades em um sistema. |
| Gerenciamento de eventos e informações de segurança (SIEM) | Uma abordagem que usa recursos internos de deteção e inteligência de ameaças com base em dados agregados de várias fontes. |
| Deteção de ameaças | Uma estratégia para detetar desvios das ações esperadas usando dados coletados, analisados e correlacionados. |
| Informações sobre ameaças | Uma estratégia para interpretar dados de deteção de ameaças para detetar atividades suspeitas ou ameaças examinando padrões. |
| Prevenção de ameaças | Controles de segurança que são colocados em uma carga de trabalho em várias altitudes para proteger seus ativos. |
O principal objetivo do monitoramento de segurança é a deteção de ameaças. O principal objetivo é prevenir possíveis violações de segurança e manter um ambiente seguro. No entanto, é igualmente importante reconhecer que nem todas as ameaças podem ser bloqueadas preventivamente. Nesses casos, o monitoramento também serve como um mecanismo para identificar a causa de um incidente de segurança que ocorreu apesar dos esforços de prevenção.
O acompanhamento pode ser abordado a partir de várias perspetivas:
Monitorize a várias altitudes. Observar de várias altitudes é o processo de obter informações sobre fluxos de usuários, acesso a dados, identidade, rede e até mesmo o sistema operacional. Cada uma dessas áreas oferece informações exclusivas que podem ajudá-lo a identificar desvios dos comportamentos esperados estabelecidos em relação à linha de base de segurança. Por outro lado, monitorar continuamente um sistema e aplicativos ao longo do tempo pode ajudar a estabelecer essa postura de linha de base. Por exemplo, normalmente você pode ver cerca de 1.000 tentativas de entrada em seu sistema de identidade a cada hora. Se o monitoramento detetar um pico de 50.000 tentativas de entrada durante um curto período, um invasor pode estar tentando obter acesso ao seu sistema.
Monitore em vários escopos de impacto. É fundamental observar o aplicativo e a plataforma. Suponha que um usuário do aplicativo recebe acidentalmente privilégios escalados ou ocorre uma violação de segurança. Se o usuário executar ações além do escopo designado, o impacto poderá ser limitado a ações que outros usuários podem executar.
No entanto, se uma entidade interna comprometer uma base de dados, a extensão dos danos potenciais é incerta.
Se ocorrer um compromisso no lado do recurso do Azure, o impacto poderá ser global, afetando todas as entidades que interagem com o recurso.
O raio de explosão ou o escopo de impacto podem ser significativamente diferentes, dependendo de qual desses cenários ocorre.
Utilize ferramentas de monitorização especializadas. É fundamental investir em ferramentas especializadas que possam verificar continuamente se há comportamentos anômalos que possam indicar um ataque. A maioria dessas ferramentas tem recursos de inteligência de ameaças que podem realizar análises preditivas com base em um grande volume de dados e ameaças conhecidas. A maioria das ferramentas não é apátrida e incorpora uma compreensão profunda da telemetria em um contexto de segurança.
As ferramentas precisam ser integradas à plataforma ou, pelo menos, conscientes da plataforma para obter sinais profundos da plataforma e fazer previsões com alta fidelidade. Devem ser capazes de gerar alertas em tempo útil com informações suficientes para realizar uma triagem adequada. O uso de muitas ferramentas diversas pode levar à complexidade.
Use o monitoramento para resposta a incidentes. Dados agregados, transformados em inteligência acionável, permitem reações rápidas e eficazes a incidentes. O monitoramento ajuda nas atividades pós-incidente. O objetivo é coletar dados suficientes para analisar e entender o que aconteceu. O processo de monitoramento captura informações sobre eventos passados para melhorar as capacidades reativas e potencialmente prever incidentes futuros.
As seções a seguir fornecem práticas recomendadas que incorporam as perspetivas de monitoramento anteriores.
Capture dados para manter um rastro de atividades
O objetivo é manter uma pista de auditoria abrangente de eventos que são significativos do ponto de vista da segurança. O registro em log é a maneira mais comum de capturar padrões de acesso. O registro em log deve ser realizado para o aplicativo e a plataforma.
Para uma trilha de auditoria, você precisa estabelecer o quê, quando e quem está associado às ações. Você precisa identificar os prazos específicos em que as ações são executadas. Faça essa avaliação em sua modelagem de ameaças. Para neutralizar uma ameaça de repúdio, você deve estabelecer sistemas fortes de registro e auditoria que resultem em um registro de atividades e transações.
As seções a seguir descrevem casos de uso para algumas altitudes comuns de uma carga de trabalho.
Fluxos de usuários do aplicativo
Seu aplicativo deve ser projetado para fornecer visibilidade de tempo de execução quando ocorrerem eventos. Identifique pontos críticos dentro do seu aplicativo e estabeleça o registro em log para esses pontos. Por exemplo, quando um usuário faz login no aplicativo, capture a identidade do usuário, o local de origem e outras informações relevantes. É importante reconhecer qualquer escalonamento nos privilégios do usuário, as ações realizadas pelo usuário e se o usuário acessou informações confidenciais em um armazenamento de dados seguro. Acompanhe as atividades do usuário e a sessão do usuário.
Para facilitar esse rastreamento, o código deve ser instrumentado por meio de registro estruturado. Isso permite uma consulta e filtragem fáceis e uniformes dos logs.
Importante
Você precisa impor o registro responsável para manter a confidencialidade e a integridade do seu sistema. Segredos e dados confidenciais não devem aparecer nos logs. Esteja ciente do vazamento de dados pessoais e outros requisitos de conformidade ao capturar esses dados de log.
Monitoramento de identidade e acesso
Mantenha um registro completo dos padrões de acesso para o aplicativo e modificações nos recursos da plataforma. Tenha registros de atividades robustos e mecanismos de deteção de ameaças, especialmente para atividades relacionadas à identidade, porque os invasores geralmente tentam manipular identidades para obter acesso não autorizado.
Implemente o registro em log abrangente usando todos os pontos de dados disponíveis. Por exemplo, inclua o endereço IP do cliente para diferenciar entre a atividade regular do usuário e ameaças potenciais de locais inesperados. Todos os eventos de log devem ter carimbo de data/hora pelo servidor.
Registre todas as atividades de acesso a recursos, capturando quem está fazendo o quê e quando está fazendo. As instâncias de escalonamento de privilégios são um ponto de dados significativo que deve ser registrado. As ações relacionadas à criação ou exclusão de conta pelo aplicativo também devem ser registradas. Esta recomendação estende-se aos segredos da aplicação. Monitore quem acessa segredos e quando eles são alternados.
Embora o registro de ações bem-sucedidas seja importante, o registro de falhas é necessário do ponto de vista da segurança. Documente quaisquer violações, como um usuário tentando uma ação, mas encontrando uma falha de autorização, tentativas de acesso a recursos inexistentes e outras ações que pareçam suspeitas.
Monitorização da rede
Ao monitorar pacotes de rede e suas origens, destinos e estruturas, você ganha visibilidade dos padrões de acesso no nível da rede.
Seu design de segmentação deve permitir pontos de observação nos limites para monitorar o que os atravessa e registrar esses dados. Por exemplo, monitore sub-redes que tenham grupos de segurança de rede que geram logs de fluxo. Monitore também os logs de firewall que mostram os fluxos que foram permitidos ou negados.
Há logs de acesso para solicitações de conexão de entrada. Esses logs registram os endereços IP de origem que iniciam as solicitações, o tipo de solicitação (GET, POST) e todas as outras informações que fazem parte das solicitações.
A captura de fluxos DNS é um requisito significativo para muitas organizações. Por exemplo, os logs DNS podem ajudar a identificar qual usuário ou dispositivo iniciou uma consulta DNS específica. Ao correlacionar a atividade do DNS com os logs de autenticação de usuário/dispositivo, você pode rastrear atividades para clientes individuais. Essa responsabilidade geralmente se estende à equipe de carga de trabalho, especialmente se eles implantarem qualquer coisa que torne as solicitações DNS parte de sua operação. A análise de tráfego DNS é um aspeto fundamental da observabilidade da segurança da plataforma.
É importante monitorar solicitações DNS inesperadas ou solicitações DNS direcionadas a pontos de extremidade de comando e controle conhecidos.
Compensação: registrar todas as atividades da rede pode resultar em uma grande quantidade de dados. Cada solicitação da camada 3 pode ser registrada em um log de fluxo, incluindo cada transação que cruza um limite de sub-rede. Infelizmente, não é possível capturar apenas eventos adversos porque eles só podem ser identificados depois que ocorrem. Tome decisões estratégicas sobre o tipo de eventos a serem capturados e por quanto tempo armazená-los. Se você não tiver cuidado, gerenciar os dados pode ser desgastante. Há também uma compensação no custo de armazenamento desses dados.
Devido às compensações, você deve considerar se o benefício do monitoramento de rede de sua carga de trabalho é suficiente para justificar os custos. Se você tiver uma solução de aplicativo Web com um alto volume de solicitações e seu sistema fizer uso extensivo de recursos gerenciados do Azure, o custo poderá superar os benefícios. Por outro lado, se você tiver uma solução projetada para usar máquinas virtuais com várias portas e aplicativos, pode ser importante capturar e analisar logs de rede.
Capturar alterações no sistema
Para manter a integridade do seu sistema, você deve ter um registro preciso e up-todo estado do sistema. Se houver alterações, você pode usar esse registro para resolver prontamente quaisquer problemas que surjam.
Os processos de construção também devem emitir telemetria. Compreender o contexto de segurança dos eventos é fundamental. Saber o que desencadeou o processo de compilação, quem o acionou e quando foi acionado pode fornecer informações valiosas.
Acompanhe quando os recursos são criados e quando são desativados. Essas informações devem ser extraídas da plataforma. Essas informações fornecem informações valiosas para o gerenciamento de recursos e a prestação de contas.
Monitore desvios na configuração de recursos. Documente qualquer alteração a um recurso existente. Acompanhe também as alterações que não foram concluídas como parte de uma distribuição para uma frota de recursos. Os logs devem capturar as especificidades da alteração e a hora exata em que ela ocorreu.
Tenha uma visão abrangente, de uma perspetiva de patching, se o sistema está up-toatualizado e seguro. Monitore os processos de atualização de rotina para verificar se eles são concluídos conforme planejado. Um processo de aplicação de patches de segurança que não seja concluído deve ser considerado uma vulnerabilidade. Você também deve manter um inventário que registre os níveis de patch e quaisquer outros detalhes necessários.
A deteção de alterações também se aplica ao sistema operacional. Isso envolve controlar se os serviços são adicionados ou desativados. Também inclui monitoramento para a adição de novos usuários ao sistema. Existem ferramentas que são projetadas para atingir um sistema operacional. Eles ajudam com o monitoramento sem contexto, no sentido de que não visam a funcionalidade da carga de trabalho. Por exemplo, o monitoramento da integridade de arquivos é uma ferramenta crítica que permite rastrear alterações em arquivos do sistema.
Você deve configurar alertas para essas alterações, especialmente se não espera que elas ocorram com frequência.
Importante
Ao implementar a produção, certifique-se de que os alertas estejam configurados para detetar atividades anômalas detetadas nos recursos do aplicativo e no processo de compilação.
Em seus planos de teste, inclua a validação de registro em log e alertas como casos de teste priorizados.
Armazene, agregue e analise dados
Os dados coletados dessas atividades de monitoramento devem ser armazenados em coletores de dados onde possam ser minuciosamente examinados, normalizados e correlacionados. Os dados de segurança devem ser mantidos fora dos armazenamentos de dados do próprio sistema. Os coletores de monitoramento, sejam eles localizados ou centrais, devem sobreviver às fontes de dados. Os sumidouros não podem ser efêmeros porque são a fonte de sistemas de deteção de intrusão.
Os logs de rede podem ser detalhados e ocupar armazenamento. Explore diferentes níveis em sistemas de armazenamento. Os logs podem naturalmente transitar para um armazenamento mais frio ao longo do tempo. Essa abordagem é benéfica porque os logs de fluxo mais antigos normalmente não são usados ativamente e só são necessários sob demanda. Esse método garante um gerenciamento de armazenamento eficiente e, ao mesmo tempo, garante que você possa acessar dados históricos quando precisar.
Os fluxos de sua carga de trabalho geralmente são compostos por várias fontes de log. Os dados de monitoramento devem ser analisados de forma inteligente em todas essas fontes. Por exemplo, o firewall só bloqueará o tráfego que chegar até ele. Se você tiver um grupo de segurança de rede que já bloqueou determinado tráfego, esse tráfego não estará visível para o firewall. Para reconstruir a sequência de eventos, você precisa agregar dados de todos os componentes que estão em fluxo e, em seguida, agregar dados de todos os fluxos. Esses dados são particularmente úteis em um cenário de resposta pós-incidente quando você está tentando entender o que aconteceu. Uma cronometragem precisa é essencial. Por motivos de segurança, todos os sistemas precisam usar uma fonte de tempo de rede para que estejam sempre sincronizados.
Deteção centralizada de ameaças com logs correlacionados
Você pode usar um sistema como o gerenciamento de eventos e informações de segurança (SIEM) para consolidar dados de segurança em um local central onde eles podem ser correlacionados entre vários serviços. Estes sistemas têm mecanismos de deteção de ameaças incorporados . Eles podem se conectar a feeds externos para obter dados de inteligência de ameaças. A Microsoft, por exemplo, publica dados de inteligência de ameaças que você pode usar. Você também pode comprar feeds de inteligência de ameaças de outros provedores, como Anomali e FireEye. Esses feeds podem fornecer informações valiosas e melhorar sua postura de segurança. Para obter informações sobre ameaças da Microsoft, consulte Security Insider.
Um sistema SIEM pode gerar alertas com base em dados correlacionados e normalizados. Esses alertas são um recurso significativo durante um processo de resposta a incidentes.
Os sistemas SIEM são geralmente geridos pelas equipas centrais de uma organização. Se a sua organização não tiver um, considere defendê-lo. Isso poderia aliviar o fardo da análise manual de logs e da correlação para permitir um gerenciamento de segurança mais eficiente e eficaz.
Algumas opções econômicas são fornecidas pela Microsoft. Muitos produtos Microsoft Defender fornecem a funcionalidade de alerta de um sistema SIEM, mas sem um recurso de agregação de dados.
Ao combinar várias ferramentas menores, você pode emular algumas funções de um sistema SIEM. No entanto, você precisa saber que essas soluções improvisadas podem não ser capazes de realizar a análise de correlação. Essas alternativas podem ser úteis, mas podem não substituir totalmente a funcionalidade de um sistema SIEM dedicado.
Detetar abuso
Seja proativo em relação à deteção de ameaças e esteja atento a sinais de abuso, como ataques de força bruta de identidade em um componente SSH ou um ponto de extremidade RDP. Embora as ameaças externas possam gerar muito ruído, especialmente se a aplicação estiver exposta à Internet, as ameaças internas são frequentemente uma preocupação maior. Um ataque inesperado de força bruta de uma fonte de rede confiável ou uma configuração incorreta inadvertida, por exemplo, devem ser investigados imediatamente.
Acompanhe suas práticas de endurecimento. O monitoramento não substitui a proteção proativa do ambiente. Uma área de superfície maior é propensa a mais ataques. Apertar os controlos tanto como a prática. Detete e desative contas não utilizadas, remova portas não utilizadas e use um firewall de aplicativo Web, por exemplo. Para obter mais informações sobre técnicas de proteção, consulte Recomendações sobre proteção de segurança.
A deteção baseada em assinatura pode inspecionar um sistema em detalhes. Envolve a procura de sinais ou correlações entre atividades que possam indicar um potencial ataque. Um mecanismo de deteção pode identificar certas características que são indicativas de um tipo específico de ataque. Nem sempre é possível detetar diretamente o mecanismo de comando e controle de um ataque. No entanto, muitas vezes há dicas ou padrões associados a um determinado processo de comando e controle. Por exemplo, um ataque pode ser indicado por uma determinada taxa de fluxo de uma perspetiva de solicitação ou pode acessar frequentemente domínios que têm terminações específicas.
Detete padrões de acesso de usuário anômalos para que você possa identificar e investigar desvios dos padrões esperados. Isso envolve comparar o comportamento atual do usuário com o comportamento passado para detetar anomalias. Embora possa não ser viável executar essa tarefa manualmente, você pode usar ferramentas de inteligência de ameaças para fazê-lo. Invista em ferramentas de User and Entity Behavior Analytics (UEBA) que coletam o comportamento do usuário a partir do monitoramento de dados e os analisam. Essas ferramentas geralmente podem realizar análises preditivas que mapeiam comportamentos suspeitos para possíveis tipos de ataque.
Detete ameaças durante os estágios de pré e pós-implantação. Durante a fase de pré-implantação, incorpore a verificação de vulnerabilidades em pipelines e tome as ações necessárias com base nos resultados. Após a implantação, continue a realizar a verificação de vulnerabilidades. Você pode usar ferramentas como o Microsoft Defender for Containers, que verifica imagens de contêiner. Inclua os resultados nos dados recolhidos. Para obter informações sobre práticas de desenvolvimento seguras, consulte Recomendações para o uso de práticas de implantação seguras.
Aproveite os mecanismos e medidas de deteção fornecidos pela plataforma. Por exemplo, o Firewall do Azure pode analisar o tráfego e bloquear conexões com destinos não confiáveis. O Azure também fornece maneiras de detetar e proteger contra ataques distribuídos de negação de serviço (DDoS).
Gestão do Azure
O Azure Monitor fornece observabilidade em todo o seu ambiente. Sem configuração, você obtém automaticamente métricas da plataforma, logs de atividades e logs de diagnóstico da maioria dos seus recursos do Azure. Os registros de atividades fornecem informações detalhadas de diagnóstico e auditoria.
Observação
Os logs da plataforma não estão disponíveis indefinidamente. Você precisa mantê-los para que possa revisá-los posteriormente para fins de auditoria ou análise off-line. Use contas de armazenamento do Azure para armazenamento de longo prazo/arquivamento. No Azure Monitor, especifique um período de retenção ao habilitar as configurações de diagnóstico para seus recursos.
Configure alertas com base em métricas e logs predefinidos ou personalizados para receber notificações quando eventos ou anomalias específicos relacionados à segurança forem detetados.
Para obter mais informações, consulte a documentação do Azure Monitor.
O Microsoft Defender for Cloud fornece recursos internos para deteção de ameaças. Ele opera com base em dados coletados e analisa logs. Como ele está ciente dos tipos de logs gerados, ele pode usar regras internas para tomar decisões informadas. Por exemplo, verifica listas de endereços IP potencialmente comprometidos e gera alertas.
Habilite os serviços internos de proteção contra ameaças para recursos do Azure. Por exemplo, habilite os recursos do Microsoft Defender para Azure, como máquinas virtuais, bancos de dados e contêineres, para detetar e proteger contra ameaças conhecidas.
O Defender for Cloud fornece recursos de plataforma de proteção de carga de trabalho na nuvem (CWPP) para deteção de ameaças de todos os recursos de carga de trabalho.
Para obter mais informações, consulte O que é o Microsoft Defender for Cloud?.
Os alertas gerados pelo Defender também podem ser alimentados nos sistemas SIEM. O Microsoft Sentinel é a oferta nativa. Ele usa IA e aprendizado de máquina para detetar e responder a ameaças de segurança em tempo real. Ele fornece uma visão centralizada dos dados de segurança e facilita a caça proativa de ameaças e a investigação.
Para obter mais informações, consulte O que é o Microsoft Sentinel?.
O Microsoft Sentinel também pode usar feeds de inteligência de ameaças de várias fontes. Para obter mais informações, consulte Integração de inteligência de ameaças no Microsoft Sentinel.
O Microsoft Sentinel pode analisar o comportamento do usuário a partir de dados de monitoramento. Para obter mais informações, consulte Identificar ameaças avançadas com a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel.
O Defender e o Microsoft Sentinel trabalham em conjunto, apesar de alguma sobreposição de funcionalidades. Esta colaboração melhora a sua postura geral de segurança, ajudando a garantir uma deteção e resposta abrangentes a ameaças.
Tire partido do Centro de Continuidade de Negócios do Azure para identificar lacunas no seu património de continuidade de negócios e defender-se contra ameaças como ataques de ransomware, atividades maliciosas e incidentes de administradores não autorizados. Para obter mais informações, consulte O que é o Centro de Continuidade de Negócios do Azure?.
Rede
Reveja todos os registos, incluindo o tráfego bruto, dos seus dispositivos de rede.
Logs de fluxo de rede virtual. Revise logs de fluxo e logs de diagnóstico.
Azure Network Watcher. Aproveite o recurso de captura de pacotes para definir alertas e obter acesso a informações de desempenho em tempo real no nível do pacote.
A captura de pacotes rastreia o tráfego de entrada e saída de máquinas virtuais. Você pode usá-lo para executar capturas proativas com base em anomalias de rede definidas, incluindo informações sobre invasões de rede.
Para obter um exemplo, consulte Monitorar redes proativamente com alertas e Azure Functions usando a captura de pacotes.
Use a análise de tráfego para analisar e enriquecer logs de fluxo de rede virtual e informações de superfície sobre o fluxo de tráfego. Com consultas internas, pode obter informações sobre tráfego bloqueado, fluxos maliciosos e portas ativas expostas à Internet na sua infraestrutura do Azure. Use a análise de tráfego para oferecer suporte à segurança Zero Trust, permitindo a segmentação, a visibilidade dos fluxos de tráfego e a deteção de atividades anômalas ou não autorizadas.
Use recursos de segurança baseados em IA para melhorar a deteção de ameaças. A integração do Firewall de Aplicativo Web do Azure com o Microsoft Security Copilot fornece recursos de análise e resposta a ameaças alimentados por IA para eventos do Firewall de Aplicativo Web do Azure Front Door e do Gateway de Aplicativo do Azure. O Firewall do Azure também se integra ao Security Copilot para investigar o tráfego mal-intencionado intercetado pelo recurso IDPS (Sistema de Deteção e Prevenção de Intrusões).|
Identidade
Monitore eventos de risco relacionados à identidade em identidades potencialmente comprometidas e corrija esses riscos. Analise os eventos de risco relatados das seguintes maneiras:
Use o relatório do Microsoft Entra ID. Para obter mais informações, consulte O que é Proteção de Identidade? e Proteção de Identidade.
Use os membros da API de deteção de risco da Proteção de Identidade para obter acesso programático às deteções de segurança por meio do Microsoft Graph. Para obter mais informações, consulte riskDetection e riskyUser.
O Microsoft Entra ID usa algoritmos adaptáveis de aprendizado de máquina, heurística e credenciais comprometidas conhecidas (pares de nome de usuário e senha) para detetar ações suspeitas relacionadas às suas contas de usuário. Esses pares de nome de usuário e senha são revelados monitorando a rede pública e a dark web e trabalhando com pesquisadores de segurança, autoridades policiais, equipes de segurança da Microsoft e outros.
Azure Pipelines (Pipelines do Azure)
O DevOps defende o gerenciamento de mudanças de cargas de trabalho por meio de integração contínua e entrega contínua (CI/CD). Certifique-se de adicionar validação de segurança nos pipelines. Siga as orientações descritas em Protegendo Pipelines do Azure.
Ligações relacionadas
- Recomendações para projetar e criar uma estrutura de observabilidade
- Insider de Segurança
- Recomendações para fortalecer os recursos
- Recomendações para o uso de práticas de implantação seguras
- documentação do Azure Monitor
- O que é o Microsoft Defender for Cloud?
- O que é o Microsoft Sentinel?
- Integração de inteligência de ameaças no Microsoft Sentinel
- Identifique ameaças avançadas com a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel
- Tutorial: Registrar o tráfego de rede de e para uma máquina virtual usando o portal do Azure
- Captura de pacotes
- Monitore redes proativamente com alertas e Azure Functions usando a Captura de Pacotes
- O que é a Proteção de Identidade?
- Proteção de identidade
- Deteção de risco
- riskyUser
- Saiba como adicionar validação de segurança contínua ao seu pipeline de CI/CD
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.