Exercício - Gerencie a segurança e o Microsoft Defender for Cloud

  • 10 minutos

Neste exercício, você confirmará se o Microsoft Defender for Cloud está habilitado e explorará alguns dos recursos dentro de cada um dos recursos mencionados na unidade anterior.

Configurar o Microsoft Defender para o Cloud

  1. No portal do Azure, vá para o servidor lógico do Banco de Dados SQL do Azure.

    O portal do Azure

  2. No painel esquerdo, em Security, selecione Microsoft Defender for Cloud. Selecione o link Configurar próximo ao Estado de Ativação.

  3. Analise as seleções que você fez para seu servidor lógico do Banco de Dados SQL do Azure. No mesmo painel estão informações sobre Avaliação de Vulnerabilidades e Proteção Avançada contra Ameaças.

    Essa conta de armazenamento foi implantada como parte do script de implantação do Banco de Dados SQL do Azure. Reveja as opções e adicione o seu endereço de e-mail se quiser receber os resultados da análise recorrente semanal. Desmarque Enviar também notificações por e-mail para administradores e proprietários de assinaturas.

  4. Assim como você pode configurar quem recebe varreduras de Avaliação de Vulnerabilidade, você pode configurar quem recebe alertas de Proteção Avançada contra Ameaças. Na sua subscrição de área restrita, não tem acesso para definir as definições de e-mail ao nível da subscrição, pelo que não poderá Adicionar os seus dados de contacto às definições de e-mail da subscrição no Centro de Segurança do Azure.

  5. Depois de atualizar todas as configurações, selecione Salvar.

    Ao definir essas configurações, você poderá concluir algumas das outras etapas desta atividade. Você verá mais informações sobre Avaliação de vulnerabilidades e Proteção avançada contra ameaças mais tarde.

Classificação de Descoberta de Dados &

  1. Volte para o banco de dados AdventureWorks no portal do Azure. No painel esquerdo, sob Segurança , selecione Classificação de Descoberta de Dados &.

  2. Analise a & Classificação da Descoberta de Dados, que fornece recursos avançados para descobrir, classificar, rotular e relatar os dados confidenciais no seu banco de dados.

    Esse tipo de vista do assistente é semelhante (mas não idêntico) à ferramenta Classificação de Descoberta de Dados & no SQL Server através do SQL Server Management Studio (SSMS) atualmente. O uso do assistente do SSMS não tem suporte para o Banco de Dados SQL do Azure. Você pode obter funcionalidade semelhante usando o portal do Azure, que tem suporte para o Banco de Dados SQL do Azure.

    Você pode usar Transact-SQL em todas as opções de implementação para adicionar ou remover classificações de coluna e recuperar classificações.

  3. Selecione o separador Classificação.

  4. A Classificação de Descoberta de Dados & tenta identificar possíveis dados confidenciais com base nos nomes das colunas nas tabelas. Reveja algumas das etiquetas sugeridas e, em seguida, selecione Selecionar todas as>Aceitar recomendações selecionadas.

  5. Selecione Salvar próximo ao canto superior esquerdo do menu.

  6. Por fim, selecione a guia Visão geral para exibir o painel de visão geral e revisar as classificações adicionadas.

    Captura de ecrã da visão geral de Classificação da Descoberta de Dados &.

Avaliação de Vulnerabilidade

  1. Selecione a configuração Microsoft Defender for Cloud em Security para exibir o painel Microsoft Defender for Cloud para seu banco de dados AdventureWorks.

  2. Para começar a rever as capacidades de Avaliação de Vulnerabilidades, em Conclusões de Avaliação de Vulnerabilidades, selecione Ver resultados adicionais em Avaliação de Vulnerabilidades.

  3. Selecione Analisar para obter os resultados mais recentes da Avaliação de Vulnerabilidades. Esse processo leva alguns momentos enquanto a Avaliação de Vulnerabilidade verifica todos os bancos de dados em seu servidor lógico do Banco de Dados SQL do Azure.

    Captura de tela de como iniciar uma verificação de Avaliação de Vulnerabilidade.

    Sua visão resultante não será exata, mas deve ser semelhante ao que é mostrado aqui:

    Captura de ecrã do novo painel da Avaliação de Vulnerabilidades após a verificação.

  4. Cada risco de segurança tem um nível de risco (alto, médio ou baixo) e informações adicionais. As regras em vigor baseiam-se em parâmetros de referência fornecidos pelo Center for Internet Security. Na guia Resultados, selecione uma vulnerabilidade. No nosso exemplo, selecionamos o ID de verificação de segurança VA2065 para obter uma vista detalhada semelhante à mostrada na imagem seguinte. Revise o status e outras informações disponíveis.

    Observação

    Se VA2065 não falhar, poderá executar um exercício semelhante posteriormente, dependendo de qualquer verificação de segurança falhada que ocorra.

    Captura de ecrã do risco de segurança VA2065.

    Nesta imagem, a Avaliação de Vulnerabilidade sugere que você configure uma linha de base de quais regras de firewall foram definidas. Depois de ter uma linha de base, pode monitorizar e avaliar quaisquer alterações.

  5. Dependendo da verificação de segurança, haverá visões e recomendações alternativas. Analise as informações fornecidas. Para esta verificação de segurança, pode selecionar o botão Adicionar todos os resultados como linha de base e, em seguida, selecione Sim para definir a linha de base. Agora que uma linha de base está em vigor, essa verificação de segurança falhará em quaisquer verificações futuras em que os resultados sejam diferentes da linha de base. Selecione o X no canto superior direito para fechar o painel da regra específica.

  6. No nosso exemplo, concluímos outra verificação selecionando Scan e podemos confirmar que o VA2065 agora está a aparecer como uma verificação de segurança Passou.

    Se selecionar a verificação de segurança concluída anterior, deverá ser capaz de ver a linha de base que configurou. Se algo mudar no futuro, as análises da Avaliação de Vulnerabilidade irão detetar isso, e a verificação de segurança não será aprovada.

Proteção avançada contra ameaças

  1. Selecione o X no canto superior direito para fechar o painel Avaliação de Vulnerabilidade e retornar ao painel do Microsoft Defender for Cloud do seu banco de dados. Em Incidentes e alertas de segurança, tu não deverás ver nenhum item. Isso significa que de Proteção Avançada contra Ameaças não detetou nenhum problema. A Proteção Avançada contra Ameaças deteta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados.

    Não se espera que veja quaisquer alertas de segurança nesta fase. Na próxima etapa, você executará um teste que disparará um alerta para que você possa revisar os resultados na Proteção Avançada contra Ameaças.

    Pode utilizar a Proteção Avançada contra Ameaças para identificar ameaças e alertá-lo quando suspeitar que está a ocorrer algum dos seguintes eventos:

    • Injeção de SQL
    • Vulnerabilidade de injeção de SQL
    • Exfiltração de dados
    • Ação insegura
    • Força bruta
    • Login de cliente anômalo

    Nesta seção, você aprenderá como um alerta de injeção de SQL pode ser acionado por meio do SSMS. Os alertas de injeção de SQL destinam-se a aplicativos personalizados, não a ferramentas padrão, como o SSMS. Portanto, para disparar um alerta por meio do SSMS como teste de uma injeção de SQL, é necessário "definir" o Nome da Aplicação, que é uma propriedade de conexão para clientes que se conectam ao SQL Server ou ao Azure SQL.

    Para obter a experiência completa desta seção, você precisa acessar o endereço de e-mail fornecido para alertas de Proteção Avançada contra Ameaças na primeira parte deste exercício (o que não pode ser feito nesta área restrita). Se precisar de atualizá-lo, faça-o antes de prosseguir.

  2. No SSMS, selecione Arquivo>Consulta Novo>Mecanismo de Banco de Dados para criar uma consulta usando uma nova conexão.

  3. Na janela de login principal, faça login no AdventureWorks como faria normalmente, com autenticação SQL. Antes de se conectar, selecione Opções >>>Propriedades da conexão. Digite AdventureWorks para a opção Conectar ao banco de dados.

    Captura de tela de como se conectar a um banco de dados específico.

  4. Selecione a guia Parâmetros de Conexão Adicionais e insira a seguinte cadeia de conexão na caixa de texto:

    Application Name=webappname

  5. Selecione Conectar.

    Captura de tela de como se conectar com um nome de aplicativo.

  6. Na nova janela de consulta, cole a seguinte consulta e selecione Executar:

    SELECT * FROM sys.databases WHERE database_id like '' or 1 = 1 --' and family = 'test1';

    Dentro de alguns minutos, se você conseguisse definir as configurações de e-mail (o que não pode ser feito na área restrita), receberia uma mensagem de e-mail semelhante à seguinte:

    Captura de ecrã de um e-mail detetado pela Proteção Avançada contra Ameaças.

  7. No portal do Azure, vá para seu banco de dados AdventureWorks. No painel esquerdo, em Security, selecione Microsoft Defender for Cloud.

    Em Incidentes e alertas de segurança, selecione Exibir alertas adicionais sobre outros recursos no Defender for Cloud.

  8. Agora você pode ver os alertas de segurança gerais.

    Captura de ecrã dos alertas de segurança.

  9. Selecione potencial de injeção de SQL para exibir alertas mais específicos e receber etapas de investigação.

  10. Como etapa de limpeza, considere fechar todos os editores de consulta no SSMS e remover todas as conexões para que você não acione acidentalmente alertas adicionais no próximo exercício.

Nesta unidade, você aprendeu como configurar e aplicar alguns dos recursos de segurança do Banco de Dados SQL do Azure. Na próxima unidade, você expandirá o que aprendeu combinando vários recursos de segurança em um cenário de ponta a ponta.