Deteção avançada de ameaças do AzureAzure advanced threat detection

  • 23 minutos para ler

O Azure oferece funcionalidades avançadas de deteção de ameaças através de serviços como o Azure Ative Directory (Azure AD), os registos do Azure Monitor e o Azure Security Center.Azure offers built in advanced threat detection functionality through services such as Azure Active Directory (Azure AD), Azure Monitor logs, and Azure Security Center. Esta coleção de serviços e capacidades de segurança fornece uma forma simples e rápida de entender o que está a acontecer dentro das suas implementações azure.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

O Azure fornece um vasto leque de opções para configurar e personalizar a segurança para satisfazer os requisitos das implementações da sua aplicação.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. Este artigo discute como satisfazer estes requisitos.This article discusses how to meet these requirements.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

A Azure AD Identity Protection é uma funcionalidade de edição Azure Ative Directory Premium P2 que fornece uma visão geral das deteções de risco e potenciais vulnerabilidades que podem afetar as identidades da sua organização.Azure AD Identity Protection is an Azure Active Directory Premium P2 edition feature that provides an overview of the risk detections and potential vulnerabilities that can affect your organization’s identities. A Proteção de Identidade utiliza as capacidades de deteção de anomalias da AD Azure existentes que estão disponíveis através de Relatórios de Atividade AD ADDo Azure, e introduz novos tipos de deteção de risco que podem detetar anomalias em tempo real.Identity Protection uses existing Azure AD anomaly-detection capabilities that are available through Azure AD Anomalous Activity Reports, and introduces new risk detection types that can detect real time anomalies.

Diagrama de Proteção de Identidade Azure AD

A Identity Protection utiliza algoritmos adaptáveis de aprendizagem automática e heurística para detetar anomalias e deteções de risco que possam indicar que uma identidade foi comprometida.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk detections that might indicate that an identity has been compromised. Utilizando estes dados, a Proteção de Identidade gera relatórios e alertas para que possa investigar estas deteções de risco e tomar medidas adequadas de reparação ou mitigação.Using this data, Identity Protection generates reports and alerts so that you can investigate these risk detections and take appropriate remediation or mitigation action.

A Proteção de Identidade do Diretório Ativo Azure é mais do que uma ferramenta de monitorização e reporte.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Com base em deteções de risco, a Proteção de Identidade calcula um nível de risco do utilizador para cada utilizador, para que possa configurar políticas baseadas em riscos para proteger automaticamente as identidades da sua organização.Based on risk detections, Identity Protection calculates a user risk level for each user, so that you can configure risk-based policies to automatically protect the identities of your organization.

Estas políticas baseadas no risco, para além de outros controlos de Acesso Condicional fornecidos pelo Azure Ative Directory e pela EMS,podem bloquear ou oferecer automaticamente ações de remediação adaptativas que incluam resets de palavras-passe e aplicação da autenticação de vários fatores.These risk-based policies, in addition to other Conditional Access controls that are provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Capacidades de Proteção de IdentidadeIdentity Protection capabilities

A Proteção de Identidade do Diretório Ativo Azure é mais do que uma ferramenta de monitorização e reporte.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Para proteger as identidades da sua organização, pode configurar políticas baseadas no risco que respondem automaticamente a problemas detetados quando um nível de risco especificado foi atingido.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Estas políticas, para além de outros controlos de acesso condicional fornecidos pelo Azure Ative Directory e pela EMS, podem bloquear ou iniciar automaticamente ações de reparação adaptativas, incluindo resets de palavras-passe e aplicação de autenticação de vários fatores.These policies, in addition to other Conditional Access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Exemplos de algumas das formas como a Proteção de Identidade Azure pode ajudar a garantir as suas contas e identidades incluem:Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Deteção de deteções de risco e contas de riscoDetecting risk detections and risky accounts

  • Detete seis tipos de deteção de risco utilizando machine learning e regras heurísticas.Detect six risk detection types using machine learning and heuristic rules.
  • Calcular os níveis de risco do utilizador.Calculate user risk levels.
  • Forneça recomendações personalizadas para melhorar a postura de segurança global, destacando vulnerabilidades.Provide custom recommendations to improve overall security posture by highlighting vulnerabilities.

Investigar deteções de riscoInvestigating risk detections

  • Envie notificações para deteções de risco.Send notifications for risk detections.
  • Investigar deteções de risco utilizando informações relevantes e contextuais.Investigate risk detections using relevant and contextual information.
  • Fornecer fluxos básicos de trabalho para acompanhar as investigações.Provide basic workflows to track investigations.
  • Proporcionar fácil acesso a ações de reparação, tais como reset de palavra-passe.Provide easy access to remediation actions such as password reset.

Políticas de acesso condicional e baseadas no riscoRisk-based, conditional-access policies

  • Mitigar inscrições arriscadas bloqueando inscrições ou exigindo desafios de autenticação de vários fatores.Mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Bloqueie ou proteja as contas de utilizador arriscadas.Block or secure risky user accounts.
  • Exigir que os utilizadores se registem para autenticação de vários fatores.Require users to register for multi-factor authentication.

Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management

Com a Azure Ative Directory Privileged Identity Management (PIM),pode gerir, controlar e monitorizar o acesso dentro da sua organização.With Azure Active Directory Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. Esta funcionalidade inclui acesso a recursos em Azure AD e outros serviços online da Microsoft, como o Office 365 ou o Microsoft Intune.This feature includes access to resources in Azure AD and other Microsoft online services, such as Office 365 or Microsoft Intune.

Diagrama de Gestão de Identidade Privilegiada azure AD

PiM ajuda-o:PIM helps you:

  • Receba alertas e relatórios sobre administradores da AD Azure e acesso administrativo just-in-time (JIT) aos serviços online da Microsoft, como o Office 365 e o Intune.Get alerts and reports about Azure AD administrators and just-in-time (JIT) administrative access to Microsoft online services, such as Office 365 and Intune.

  • Obtenha relatórios sobre o histórico de acesso do administrador e alterações nas atribuições de administradores.Get reports about administrator access history and changes in administrator assignments.

  • Receba alertas sobre o acesso a um papel privilegiado.Get alerts about access to a privileged role.

Registos do Azure MonitorAzure Monitor logs

Os registos do Azure Monitor são uma solução de gestão de TI baseada na nuvem da Microsoft que o ajuda a gerir e proteger as suas infraestruturas no local e na nuvem.Azure Monitor logs is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Como os registos do Azure Monitor são implementados como um serviço baseado na nuvem, você pode tê-lo em funcionamento rapidamente com o mínimo de investimento em serviços de infraestrutura.Because Azure Monitor logs is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. As novas funcionalidades de segurança são entregues automaticamente, poupando custos de manutenção e atualização em curso.New security features are delivered automatically, saving ongoing maintenance and upgrade costs.

Além de fornecer serviços valiosos por si só, os registos do Azure Monitor podem integrar-se com componentes do System Center, como o System Center Operations Manager,para alargar os seus investimentos de gestão de segurança existentes na nuvem.In addition to providing valuable services on its own, Azure Monitor logs can integrate with System Center components, such as System Center Operations Manager, to extend your existing security management investments into the cloud. Os registos do System Center e do Azure Monitor podem trabalhar em conjunto para proporcionar uma experiência de gestão híbrida completa.System Center and Azure Monitor logs can work together to provide a full hybrid management experience.

Postura holística de segurança e conformidadeHolistic security and compliance posture

O dashboard de Segurança e Auditoria log analytics fornece uma visão abrangente da postura de segurança de TI da sua organização, com consultas de pesquisa incorporadas para questões notáveis que requerem a sua atenção.The Log Analytics Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture, with built-in search queries for notable issues that require your attention. O dashboard de Segurança e Auditoria é o ecrã principal de tudo o que está relacionado com a segurança nos registos do Monitor Azure.The Security and Audit dashboard is the home screen for everything related to security in Azure Monitor logs. Fornece informações de alto nível sobre o estado de segurança dos computadores.It provides high-level insight into the security state of your computers. Você também pode ver todos os eventos das últimas 24 horas, 7 dias, ou qualquer outro prazo personalizado.You can also view all events from the past 24 hours, 7 days, or any other custom timeframe.

Os registos do Azure Monitor ajudam-no a compreender de forma rápida e fácil a postura de segurança global de qualquer ambiente, tudo no contexto das Operações de TI, incluindo avaliação de atualização de software, avaliação antimalware e linhas de base de configuração.Azure Monitor logs help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including software update assessment, antimalware assessment, and configuration baselines. Os dados do registo de segurança são facilmente acessíveis para simplificar os processos de auditoria de segurança e conformidade.Security log data is readily accessible to streamline the security and compliance audit processes.

O dashboard de segurança e auditoria de Log Analytics

O dashboard de Segurança e Auditoria log analytics está organizado em quatro categorias principais:The Log Analytics Security and Audit dashboard is organized into four major categories:

  • Domínios de Segurança: Permite-lhe explorar ainda mais os registos de segurança ao longo do tempo; aceder a avaliações de malware; avaliações de atualização; ver informações sobre segurança, identidade e acesso da rede; ver computadores com eventos de segurança; e aceda rapidamente ao painel do Centro de Segurança Azure.Security Domains: Lets you further explore security records over time; access malware assessments; update assessments; view network security, identity, and access information; view computers with security events; and quickly access the Azure Security Center dashboard.

  • Questões Notáveis: Permite-lhe identificar rapidamente o número de questões ativas e a gravidade das questões.Notable Issues: Lets you quickly identify the number of active issues and the severity of the issues.

  • Deteções (Pré-visualização): Permite identificar padrões de ataque exibindo alertas de segurança à medida que ocorrem contra os seus recursos.Detections (Preview): Lets you identify attack patterns by displaying security alerts as they occur against your resources.

  • Inteligência de Ameaça: Permite identificar padrões de ataque exibindo o número total de servidores com tráfego IP malicioso de saída, o tipo de ameaça maliciosa e um mapa das localizações dos IPs.Threat Intelligence: Lets you identify attack patterns by displaying the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map of the IPs locations.

  • Consultas de segurança comuns: Lista as consultas de segurança mais comuns que pode utilizar para monitorizar o seu ambiente.Common security queries: Lists the most common security queries that you can use to monitor your environment. Quando selecionar qualquer consulta, o painel de pesquisa abre e exibe os resultados para essa consulta.When you select any query, the Search pane opens and displays the results for that query.

Insight e análiseInsight and analytics

No centro dos registos do Monitor Azure está o repositório, que é hospedado pelo Azure.At the center of Azure Monitor logs is the repository, which is hosted by Azure.

Diagrama de insights e análises

Recolhe dados no repositório a partir de fontes conectadas, configurando fontes de dados e adicionando soluções à sua subscrição.You collect data into the repository from connected sources by configuring data sources and adding solutions to your subscription.

O painel de logs do Monitor Azure

Fontes e soluções de dados criam tipos de registo separados com o seu próprio conjunto de propriedades, mas ainda pode analisá-los juntos em consultas ao repositório.Data sources and solutions each create separate record types with their own set of properties, but you can still analyze them together in queries to the repository. Pode utilizar as mesmas ferramentas e métodos para trabalhar com uma variedade de dados que são recolhidos por várias fontes.You can use the same tools and methods to work with a variety of data that's collected by various sources.

A maior parte da sua interação com os registos do Monitor Azur é através do portal Azure, que funciona em qualquer navegador e lhe fornece acesso a configurações de configuração e múltiplas ferramentas para analisar e atuar em dados recolhidos.Most of your interaction with Azure Monitor logs is through the Azure portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. A partir do portal, pode usar:From the portal, you can use:

  • Faça log pesquisas onde constrói consultas para analisar dados recolhidos.Log searches where you construct queries to analyze collected data.
  • Dashboards, que pode personalizar com vistas gráficas das suas pesquisas mais valiosas.Dashboards, which you can customize with graphical views of your most valuable searches.
  • Soluções, que fornecem ferramentas adicionais de funcionalidade e análise.Solutions, which provide additional functionality and analysis tools.

Ferramentas de análise

As soluções adicionam funcionalidade aos registos do Monitor Azure.Solutions add functionality to Azure Monitor logs. Eles correm principalmente na nuvem e fornecem a análise de dados que são recolhidos no repositório de análise de registo.They primarily run in the cloud and provide analysis of data that's collected in the log analytics repository. As soluções também podem definir novos tipos de registo a serem recolhidos que podem ser analisados com pesquisas de registo ou utilizando uma interface adicional de utilizador que a solução fornece no painel de análise de registo.Solutions might also define new record types to be collected that can be analyzed with log searches or by using an additional user interface that the solution provides in the log analytics dashboard.

O dashboard de Segurança e Auditoria é um exemplo deste tipo de soluções.The Security and Audit dashboard is an example of these types of solutions.

Automação e controlo: Alerta sobre derivas de configuração de segurançaAutomation and control: Alert on security configuration drifts

A Azure Automation automatiza processos administrativos com livros de execução baseados na PowerShell e funcionam na nuvem.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the cloud. Os runbooks podem ser também executados no seu centro de dados local para gerir recursos locais.Runbooks can also be executed on a server in your local data center to manage local resources. A Azure Automation fornece uma gestão de configuração com a Configuração do Estado Desejado pela PowerShell (DSC).Azure Automation provides configuration management with PowerShell Desired State Configuration (DSC).

Diagrama de Automação Azure

Você pode criar e gerir recursos DSC que estão hospedados em Azure e aplicá-los em sistemas de nuvem e no local.You can create and manage DSC resources that are hosted in Azure and apply them to cloud and on-premises systems. Ao fazê-lo, pode definir e aplicar automaticamente a sua configuração ou obter relatórios sobre deriva para ajudar a garantir que as configurações de segurança permanecem dentro da política.By doing so, you can define and automatically enforce their configuration or get reports on drift to help ensure that security configurations remain within policy.

Centro de Segurança do AzureAzure Security Center

O Azure Security Center ajuda a proteger os seus recursos Azure.Azure Security Center helps protect your Azure resources. Fornece monitorização integrada de segurança e gestão de políticas em todas as suas subscrições do Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. Dentro do serviço, pode definir polícias contra as suas assinaturas Azure e grupos de recursos para maior granularidade.Within the service, you can define polices against both your Azure subscriptions and resource groups for greater granularity.

Diagrama do Centro de Segurança Azure

Os investigadores de segurança da Microsoft estão constantemente atentos a ameaças.Microsoft security researchers are constantly on the lookout for threats. Estes têm acesso a um conjunto amplo de telemetria obtida através da presença global da Microsoft na nuvem e no local.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. Esta coleção abrangente e diversificada de conjuntos de dados permite à Microsoft descobrir novos padrões de ataque e tendências dos seus produtos de consumidor e empresariais no local, assim como os seus serviços online.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Assim, o Security Center pode atualizar rapidamente os seus algoritmos de deteção à medida que os atacantes lançam novas e cada vez mais sofisticadas explorações.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Esta abordagem ajuda-o a manter o ritmo com um ambiente de ameaça em movimento rápido.This approach helps you keep pace with a fast-moving threat environment.

Deteção de ameaças do Centro de Segurança

A deteção de ameaças do Centro de Segurança funciona através da recolha automática de informações de segurança a partir dos seus recursos do Azure, da rede e das soluções de parceiros ligadas.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Analisa esta informação, correlando informações de várias fontes, para identificar ameaças.It analyzes this information, correlating information from multiple sources, to identify threats.

Os alertas de segurança são prioritários no Centro de Segurança, juntamente com recomendações sobre como remediar a ameaça.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

O Centro de Segurança emprega análises de segurança avançadas, que ultrapassam as abordagens baseadas na assinatura.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Descobertas em tecnologias de big data e machine learning são usadas para avaliar eventos em todo o tecido nuvem.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric. Análises avançadas podem detetar ameaças que seriam impossíveis de identificar através de abordagens manuais e prever a evolução dos ataques.Advanced analytics can detect threats that would be impossible to identify through manual approaches and predicting the evolution of attacks. Estes tipos de análise de segurança estão cobertos nas próximas secções.These security analytics types are covered in the next sections.

Informações sobre ameaçasThreat intelligence

A Microsoft tem acesso a uma enorme quantidade de inteligência global de ameaças.Microsoft has access to an immense amount of global threat intelligence.

A telemetria flui de várias fontes, tais como Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, a Microsoft Digital Crimes Unit (DCU) e o Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Descobertas de inteligência de ameaça

Os investigadores também recebem informações de inteligência de ameaças que são partilhadas entre os principais fornecedores de serviços na nuvem, e subscrevem feeds de inteligência de ameaças de terceiros.Researchers also receive threat intelligence information that is shared among major cloud service providers, and they subscribe to threat intelligence feeds from third parties. O Centro de Segurança do Azure pode utilizar estas informações para alertá-lo de ameaças de pessoas mal-intencionadas conhecidas.Azure Security Center can use this information to alert you to threats from known bad actors. Alguns exemplos incluem:Some examples include:

  • Aproveitando o poder do machine learning: O Azure Security Center tem acesso a uma grande quantidade de dados sobre a atividade da rede cloud, que podem ser usados para detetar ameaças direcionadas às suas implementações Azure.Harnessing the power of machine learning: Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments.

  • Deteção de força bruta: A aprendizagem automática é usada para criar um padrão histórico de tentativas de acesso remoto, o que lhe permite detetar ataques de força bruta contra portas Secure Shell (SSH), Remote Desktop Protocol (RDP) e SQL.Brute force detection: Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against Secure Shell (SSH), Remote Desktop Protocol (RDP), and SQL ports.

  • DDoS de saída e deteçãode botnets : Um objetivo comum de ataques que visam os recursos da nuvem é usar o poder computacional destes recursos para executar outros ataques.Outbound DDoS and botnet detection: A common objective of attacks that target cloud resources is to use the compute power of these resources to execute other attacks.

  • Novos servidores de análise comportamental e VMs: Depois de um servidor ou máquina virtual estar comprometido, os atacantes empregam uma grande variedade de técnicas para executar código malicioso nesse sistema, evitando a deteção, garantindo a persistência e obviando os controlos de segurança.New behavioral analytics servers and VMs: After a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Deteção de ameaças de base de dados Azure SQL: Deteção de ameaças para base de dados Azure SQL, que identifica atividades anómalas de base de dados que indicam tentativas incomuns e potencialmente prejudiciais de acesso ou exploração de bases de dados.Azure SQL Database Threat Detection: Threat detection for Azure SQL Database, which identifies anomalous database activities that indicate unusual and potentially harmful attempts to access or exploit databases.

Análise comportamentalBehavioral analytics

A análise comportamental é uma técnica que analisa e compara os dados para uma coleção de padrões conhecidos.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. No entanto, estes padrões não são simples assinaturas.However, these patterns are not simple signatures. São determinados através de algoritmos complexos de machine learning aplicados a conjuntos de dados gigantescos.They are determined through complex machine learning algorithms that are applied to massive datasets.

Resultados de análise comportamental

Os padrões também são determinados através de uma análise cuidadosa de comportamentos maliciosos por analistas especializados.The patterns are also determined through careful analysis of malicious behaviors by expert analysts. O Azure Security Center pode usar análises comportamentais para identificar recursos comprometidos com base na análise de registos de máquinas virtuais, registos de dispositivos de rede virtual, troncos de tecido, lixeiras de colisão e outras fontes.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

Além disso, os padrões estão correlacionados com outros sinais para verificar se há provas de apoio de uma campanha generalizada.In addition, patterns are correlated with other signals to check for supporting evidence of a widespread campaign. Esta correlação ajuda a identificar eventos que são consistentes com indicadores estabelecidos de comprometimento.This correlation helps to identify events that are consistent with established indicators of compromise.

Alguns exemplos incluem:Some examples include:

  • Execução do processo suspeito: os atacantes empregam várias técnicas para executar o software malicioso sem deteção.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Por exemplo, um intruso pode dar ao malware os mesmos nomes que os ficheiros legítimos do sistema, mas colocar estes ficheiros num local alternativo, usar um nome semelhante ao de um ficheiro benigno ou mascarar a verdadeira extensão do ficheiro.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is similar to that of a benign file, or mask the file’s true extension. Os modelos do Security Center processam comportamentos e monitorizam execuções de processos para detetar execuções mais distantes como estes.Security Center models process behaviors and monitor process executions to detect outliers such as these.

  • Tentativas ocultasde malware e exploração : Malware sofisticado pode escapar aos produtos antimalware tradicionais, nunca escrevendo para disco ou encriptando componentes de software armazenados em disco.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. No entanto, este malware pode ser detetado através da análise da memória, porque o malware deve deixar vestígios na memória para funcionar.However, such malware can be detected by using memory analysis, because the malware must leave traces in memory to function. Quando o software falha, uma informação de falha de sistema captura uma parte da memória no momento da falha.When software crashes, a crash dump captures a portion of memory at the time of the crash. Ao analisar a memória no depósito de colisão, o Azure Security Center pode detetar técnicas usadas para explorar vulnerabilidades em software, aceder a dados confidenciais e persistir subrepticiamente dentro de uma máquina comprometida sem afetar o desempenho da sua máquina.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without affecting the performance of your machine.

  • Movimento lateral e reconhecimento interno: Para persistir numa rede comprometida e localizar e recolher dados valiosos, os atacantes muitas vezes tentam mover-se lateralmente da máquina comprometida para outros dentro da mesma rede.Lateral movement and internal reconnaissance: To persist in a compromised network and locate and harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. O Security Center monitoriza o processo e as atividades de login para descobrir tentativas de expandir a posição de um intruso dentro da rede, tais como execução de comando remoto, sondagem de rede e enumeração de conta.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Scripts PowerShell maliciosos: PowerShell pode ser usado por atacantes para executar código malicioso em máquinas virtuais alvo para vários fins.Malicious PowerShell scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for various purposes. O Centro da Segurança inspeciona a atividade do PowerShell quanto a provas de atividade suspeita.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Ataques de saída: os atacantes concentram-se muitas vezes nos recursos da nuvem com o objetivo de os utilizar para preparar ataques adicionais.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Máquinas virtuais comprometidas, por exemplo, podem ser usadas para lançar ataques de força bruta contra outras máquinas virtuais, enviar spam ou digitalizar portas abertas e outros dispositivos na internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send spam, or scan open ports and other devices on the internet. Ao aplicar o machine learning ao tráfego de rede, o Centro de Segurança pode detetar quando as comunicações da rede de saída excedem o normal.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Quando o spam é detetado, o Security Center também correlaciona o tráfego de e-mail incomum com a inteligência do Office 365 para determinar se o correio é provavelmente nefasto ou o resultado de uma campanha legítima de e-mail.When spam is detected, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Deteção de anomaliasAnomaly detection

O Centro de Segurança do Azure utiliza também a deteção de anomalias para identificar ameaças.Azure Security Center also uses anomaly detection to identify threats. Contrariamente à análise comportamental (que depende de padrões conhecidos derivados de grandes conjuntos de dados), a deteção de anomalias é mais “personalizada” e concentra-se nas linhas de base específicas das suas implementações.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. A aprendizagem automática é aplicada para determinar a atividade normal para as suas implementações, e em seguida, são geradas regras para definir condições mais distantes que podem representar um evento de segurança.Machine learning is applied to determine normal activity for your deployments, and then rules are generated to define outlier conditions that could represent a security event. Segue-se um exemplo:Here’s an example:

  • Ataques de força bruta RDP/SSH de entrada: As suas implantações podem ter máquinas virtuais ocupadas com muitos logins todos os dias e outras máquinas virtuais que têm poucos, se houver, logins.Inbound RDP/SSH brute force attacks: Your deployments might have busy virtual machines with many logins each day and other virtual machines that have few, if any, logins. O Azure Security Center pode determinar a atividade de login de base para estas máquinas virtuais e usar machine learning para definir em torno das atividades normais de login.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. Se houver alguma discrepância com a linha de base definida para as características relacionadas com o login, pode ser gerado um alerta.If there is any discrepancy with the baseline defined for login related characteristics, an alert might be generated. Novamente, o machine learning determina o que é significativo.Again, machine learning determines what is significant.

Monitorização de informações sobre ameaças contínuaContinuous threat intelligence monitoring

O Azure Security Center opera com equipas de pesquisa de segurança e ciência de dados em todo o mundo que monitorizam continuamente as mudanças no panorama das ameaças.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Isto inclui as seguintes iniciativas:This includes the following initiatives:

  • Monitorização da inteligência de ameaças: A inteligência das ameaças inclui mecanismos, indicadores, implicações e conselhos atuais sobre ameaças existentes ou emergentes.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Esta informação é partilhada na comunidade de segurança, e a Microsoft monitoriza continuamente os feeds de inteligência de ameaças de fontes internas e externas.This information is shared in the security community, and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Partilha de sinais: São partilhadas e analisadas as informações das equipas de segurança através do vasto portfólio da Microsoft de serviços, servidores e dispositivos de ponto final de cliente.Signal sharing: Insights from security teams across the broad Microsoft portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Especialistas em segurançada Microsoft : Envolvimento contínuo com equipas em toda a Microsoft que trabalham em campos de segurança especializados, tais como forenses e deteção de ataques web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, such as forensics and web attack detection.

  • Afinação de deteção: Os algoritmos são executados contra conjuntos reais de dados de clientes, e os investigadores de segurança trabalham com os clientes para validar os resultados.Detection tuning: Algorithms are run against real customer data sets, and security researchers work with customers to validate the results. Os verdadeiros e falsos positivos são utilizados para refinar os algoritmos do machine learning.True and false positives are used to refine machine learning algorithms.

Estes esforços combinados culminam em novas e melhoradas deteções, das quais pode beneficiar instantaneamente.These combined efforts culminate in new and improved detections, which you can benefit from instantly. Não há ação a tomar.There’s no action for you to take.

Funcionalidades avançadas de deteção de ameaças: Outros serviços AzureAdvanced threat detection features: Other Azure services

Máquinas virtuais: Antimalware da MicrosoftVirtual machines: Microsoft antimalware

O antimalware da Microsoft para o Azure é uma solução de agente único para aplicações e ambientes de inquilinos, projetado para funcionar em segundo plano sem intervenção humana.Microsoft antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. Pode implementar proteção com base nas necessidades das cargas de trabalho da sua aplicação, com configuração personalizada básica de segurança por padrão ou avançada, incluindo monitorização antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. O antimalware Azure é uma opção de segurança para máquinas virtuais Azure que é instalada automaticamente em todas as máquinas virtuais Azure PaaS.Azure antimalware is a security option for Azure virtual machines that's automatically installed on all Azure PaaS virtual machines.

Funcionalidades centrais antimalware da MicrosoftMicrosoft antimalware core features

Estas são as funcionalidades do Azure que implementam e permitem o antimalware da Microsoft para as suas aplicações:Here are the features of Azure that deploy and enable Microsoft antimalware for your applications:

  • Proteção em tempo real: Monitoriza a atividade em serviços na nuvem e em máquinas virtuais para detetar e bloquear a execução de malware.Real-time protection: Monitors activity in cloud services and on virtual machines to detect and block malware execution.

  • Digitalização programada: Periodicamente realiza digitalização direcionada para detetar malware, incluindo programas de execução ativa.Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.

  • Reparação de malware: Atua automaticamente em malware detetado, como eliminar ou pôr em quarentena ficheiros maliciosos e limpar entradas de registo maliciosas.Malware remediation: Automatically acts on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Atualizaçõesde assinaturas : Instala automaticamente as mais recentes assinaturas de proteção (definições de vírus) para garantir que a proteção está atualizada numa frequência pré-determinada.Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up to date on a pre-determined frequency.

  • Atualizações do motor antimalware: Atualiza automaticamente o Motor Antimalware da Microsoft.Antimalware Engine updates: Automatically updates the Microsoft Antimalware Engine.

  • Atualizaçõesda plataforma antimalware : Atualiza automaticamente a plataforma antimalware da Microsoft.Antimalware platform updates: Automatically updates the Microsoft antimalware platform.

  • Proteção ativa: Relatórios de metadados de telemetria sobre ameaças detetadas e recursos suspeitos para o Microsoft Azure para garantir uma resposta rápida ao cenário de ameaça em evolução, permitindo a entrega de assinaturas sincronizadas em tempo real através do sistema de proteção ativa da Microsoft.Active protection: Reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, enabling real-time synchronous signature delivery through the Microsoft active protection system.

  • Relatórios de amostras: Fornece e reporta amostras ao serviço antimalware da Microsoft para ajudar a refinar o serviço e permitir a resolução de problemas.Samples reporting: Provides and reports samples to the Microsoft antimalware service to help refine the service and enable troubleshooting.

  • Exclusões: Permite que os administradores de aplicação e de serviço configurem certos ficheiros, processos e unidades para exclusão da proteção e digitalização por razões de desempenho e outros motivos.Exclusions: Allows application and service administrators to configure certain files, processes, and drives for exclusion from protection and scanning for performance and other reasons.

  • Recolha de eventos antimalware: Regista as ações de saúde do serviço antimalware, atividades suspeitas e remediação tomadas no registo de eventos do sistema operativo e recolhe-as na conta de armazenamento azure do cliente.Antimalware event collection: Records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure storage account.

Deteção de ameaças de base de dados Azure SQLAzure SQL Database Threat Detection

A Deteção de Ameaças de Base de Dados Azure SQL é uma nova funcionalidade de inteligência de segurança incorporada no serviço de base de dados Azure SQL.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Trabalhando 24 horas por dia para aprender, perfil e detetar atividades anómalas de base de dados, a Deteção de Ameaças de Base de Dados Azure SQL identifica potenciais ameaças à base de dados.Working around the clock to learn, profile, and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

Os oficiais de segurança ou outros administradores designados podem receber uma notificação imediata sobre atividades suspeitas de bases de dados à medida que ocorrem.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Cada notificação fornece detalhes sobre a atividade suspeita e recomenda como investigar e mitigar a ameaça.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Atualmente, a Deteção de Ameaças de Base de Dados Azure SQL deteta potenciais vulnerabilidades e ataques de injeção SQL e padrões anómalos de acesso à base de dados.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Ao receber uma notificação de e-mail de deteção de ameaças, os utilizadores são capazes de navegar e ver os registos de auditoria relevantes através de um link profundo no correio.Upon receiving a threat-detection email notification, users are able to navigate and view the relevant audit records through a deep link in the mail. O link abre um espectador de auditoria ou um modelo de Excel de auditoria preconfigurado que mostra os registos de auditoria relevantes na altura do evento suspeito, de acordo com o seguinte:The link opens an audit viewer or a preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event, according to the following:

  • Armazenamento de auditoria para a base de dados/servidor com as atividades anómalas da base de dados.Audit storage for the database/server with the anomalous database activities.

  • Quadro de armazenamento de auditoria relevante que foi usado no momento do evento para escrever o registo de auditoria.Relevant audit storage table that was used at the time of the event to write the audit log.

  • Registos de auditoria da hora imediatamente a seguir à ocorrência do evento.Audit records of the hour immediately following the event occurrence.

  • Registos de auditoria com um ID de evento semelhante no momento do evento (opcional para alguns detetores).Audit records with a similar event ID at the time of the event (optional for some detectors).

Os detetores de ameaças da Base de Dados SQL utilizam uma das seguintes metodologias de deteção:SQL Database threat detectors use one of the following detection methodologies:

  • Deteção determinística: Deteta padrões suspeitos (regras baseadas) nas consultas de clientes SQL que coincidem com os ataques conhecidos.Deterministic detection: Detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Esta metodologia tem alta deteção e baixa cobertura falsa, mas limitada, porque se enquadra na categoria de "deteções atómicas".This methodology has high detection and low false positive, but limited coverage because it falls within the category of “atomic detections.”

  • Deteção comportamental: Deteta atividade anómala, que é um comportamento anormal na base de dados que não foi visto nos últimos 30 dias.Behavioral detection: Detects anomalous activity, which is abnormal behavior in the database that was not seen during the most recent 30 days. Exemplos de atividade anómala do cliente SQL podem ser um pico de logins ou consultas falhadas, um grande volume de dados a ser extraído, consultas canónicas incomuns ou endereços IP desconhecidos usados para aceder à base de dados.Examples of SQL client anomalous activity can be a spike of failed logins or queries, a high volume of data being extracted, unusual canonical queries, or unfamiliar IP addresses used to access the database.

Application Gateway Web Application FirewallApplication Gateway Web Application Firewall

Firewall de aplicação web (WAF) é uma característica do Portal de Aplicações Azure que fornece proteção às aplicações web que utilizam um gateway de aplicação para funções padrão de controlo de aplicação.Web Application Firewall (WAF) is a feature of Azure Application Gateway that provides protection to web applications that use an application gateway for standard application delivery control functions. A Firewall de aplicação web faz isso protegendo-os contra a maioria do Projeto de Segurança de Aplicações Abertas web (OWASP) top 10 vulnerabilidades comuns web.Web Application Firewall does this by protecting them against most of the Open Web Application Security Project (OWASP) top 10 common web vulnerabilities.

Diagrama de firewall de aplicação web de aplicação de gateway de aplicação de aplicação

As proteções incluem:Protections include:

  • Proteção contra injeção SQL.SQL injection protection.

  • Proteção de scripts de cross site.Cross site scripting protection.

  • Proteção de Ataques Web Comuns, tais como injeção de comando, http solicitar contrabando, divisão de resposta HTTP e ataque de inclusão de ficheiros remotos.Common Web Attacks Protection, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack.

  • Proteção contra violações do protocolo HTTP.Protection against HTTP protocol violations.

  • Proteção contra anomalias do protocolo HTTP, tais como agente-utilizador hospedeiro desaparecido e cabeçalhos aceite.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.

  • Prevenção contra bots, rastejantes e scanners.Prevention against bots, crawlers, and scanners.

  • Deteção de configurações de aplicações comuns (isto é, Apache, IIS, e assim por diante).Detection of common application misconfigurations (that is, Apache, IIS, and so on).

Configurar o WAF na sua porta de entrada de aplicações fornece os seguintes benefícios:Configuring WAF at your application gateway provides the following benefits:

  • Protege a sua aplicação web de vulnerabilidades e ataques web sem modificação do código de back-end.Protects your web application from web vulnerabilities and attacks without modification of the back-end code.

  • Protege várias aplicações web ao mesmo tempo atrás de um gateway de aplicação.Protects multiple web applications at the same time behind an application gateway. Um gateway de aplicação suporta hospedagem até 20 websites.An application gateway supports hosting up to 20 websites.

  • Monitoriza aplicações web contra ataques utilizando relatórios em tempo real que são gerados por registos WAF de gateway de aplicação.Monitors web applications against attacks by using real-time reports that are generated by application gateway WAF logs.

  • Ajuda a cumprir os requisitos de conformidade.Helps meet compliance requirements. Certos controlos de conformidade exigem que todos os pontos finais virados para a Internet sejam protegidos por uma solução WAF.Certain compliance controls require all internet-facing endpoints to be protected by a WAF solution.

API de deteção de anomalias: Construído com Aprendizagem automática AzureAnomaly Detection API: Built with Azure Machine Learning

A API de Deteção de Anomalias é uma API que é útil para detetar uma variedade de padrões anómalos nos dados da série de tempo.The Anomaly Detection API is an API that's useful for detecting a variety of anomalous patterns in your time series data. A API atribui uma pontuação de anomalia a cada ponto de dados da série de tempo, que pode ser usada para gerar alertas, monitorização através de dashboards ou ligação com os seus sistemas de bilhética.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards, or connecting with your ticketing systems.

A API de deteção de anomalias pode detetar os seguintes tipos de anomalias nos dados da série time:The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Picos e mergulhos: Quando estiver a monitorizar o número de falhas de login num serviço ou número de check-outs num site de e-commerce, picos ou mergulhos incomuns podem indicar ataques de segurança ou interrupções de serviço.Spikes and dips: When you're monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Tendências positivas e negativas: Quando está a monitorizar o uso da memória na computação, a redução do tamanho da memória livre indica uma fuga de memória potencial.Positive and negative trends: When you're monitoring memory usage in computing, shrinking free memory size indicates a potential memory leak. Para a monitorização do comprimento da fila de serviço, uma tendência ascendente persistente pode indicar um problema de software subjacente.For service queue length monitoring, a persistent upward trend might indicate an underlying software issue.

  • Alterações de nível e alterações na gama dinâmica de valores: Alterações de nível nas latenciências de um serviço após uma atualização do serviço ou níveis mais baixos de exceções após a atualização podem ser interessantes de monitorizar.Level changes and changes in dynamic range of values: Level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

A API baseada em machine learning permite:The machine learning-based API enables:

  • Deteção flexível e robusta: Os modelos de deteção de anomalias permitem aos utilizadores configurar definições de sensibilidade e detetar anomalias entre conjuntos de dados sazonais e não sazonais.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Os utilizadores podem ajustar o modelo de deteção de anomalias para tornar a API de deteção menos ou mais sensível de acordo com as suas necessidades.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Isto significaria detetar as anomalias menos ou mais visíveis em dados com e sem padrões sazonais.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Deteção escalável e oportuna: A forma tradicional de monitorização com os atuais limiares estabelecidos pelos conhecimentos de domínio dos peritos são dispendiosas e não escaláveis para milhões de conjuntos de dados em mudança dinâmica.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. Os modelos de deteção de anomalias nesta API são aprendidos, e os modelos são sintonizados automaticamente a partir de dados históricos e em tempo real.The anomaly detection models in this API are learned, and models are tuned automatically from both historical and real-time data.

  • Deteção proactiva e acionável: A tendência lenta e a deteção de alterações de nível podem ser aplicadas para deteção precoce de anomalias.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Os primeiros sinais anormais detetados podem ser usados para direcionar os humanos para investigar e agir nas áreas problemáticas.The early abnormal signals that are detected can be used to direct humans to investigate and act on the problem areas. Além disso, os modelos de análise de causas de raiz e ferramentas de alerta podem ser desenvolvidos em cima deste serviço de Deteção de Anomalias API.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly-detection API service.

A API de deteção de anomalias é uma solução eficaz e eficiente para uma vasta gama de cenários, tais como a saúde dos serviços e monitorização do KPI, IoT, monitorização do desempenho e monitorização do tráfego de rede.The anomaly-detection API is an effective and efficient solution for a wide range of scenarios, such as service health and KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Aqui estão alguns cenários populares onde esta API pode ser útil:Here are some popular scenarios where this API can be useful:

  • Os departamentos de TI precisam de ferramentas para rastrear eventos, código de erro, registo de uso e desempenho (CPU, memória, e assim por diante) em tempo oportuno.IT departments need tools to track events, error code, usage log, and performance (CPU, memory, and so on) in a timely manner.

  • Os sites de comércio online querem acompanhar as atividades dos clientes, visualizações de páginas, cliques, e assim por diante.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • As empresas de serviços públicos querem controlar o consumo de água, gás, eletricidade e outros recursos.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • Os serviços de gestão de instalações ou edifícios querem monitorizar a temperatura, humidade, tráfego, e assim por diante.Facility or building management services want to monitor temperature, moisture, traffic, and so on.

  • A IoT/fabricantes quer utilizar dados de sensores em séries temporais para monitorizar o fluxo de trabalho, a qualidade, e assim por diante.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Os prestadores de serviços, como os call centers, precisam monitorizar a tendência da procura de serviços, o volume de incidentes, o comprimento da fila de espera, e assim por diante.Service providers, such as call centers, need to monitor service demand trend, incident volume, wait queue length, and so on.

  • Os grupos de análise de negócios querem monitorizar o movimento anormal dos KPIs (como o volume de vendas, os sentimentos dos clientes ou os preços) em tempo real.Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, or pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security é um componente crítico da pilha de Segurança cloud da Microsoft.Cloud App Security is a critical component of the Microsoft Cloud Security stack. É uma solução abrangente que pode ajudar a sua organização à medida que se move para tirar o máximo partido da promessa de aplicações na nuvem.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications. Mantém-te no controlo, através de uma melhor visibilidade para a atividade.It keeps you in control, through improved visibility into activity. Também aumenta a proteção dos dados vitais nas várias aplicações em cloud.It also helps increase the protection of critical data across cloud applications.

Com ferramentas para ajudar a desvendar Shadow IT, avaliar o risco, aplicar políticas, investigar atividades e parar ameaças, a sua organização pode migrar com mais segurança para a cloud sem perder o controlo dos dados vitais.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.
DetetarDiscover Desvende o TI sombra com o Cloud App Security.Uncover shadow IT with Cloud App Security. Obtenha visibilidade ao detetar aplicações, atividades, utilizadores, dados e ficheiros no seu ambiente na cloud.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Detete aplicações de terceiros que estão ligadas à sua cloud.Discover third-party apps that are connected to your cloud.
InvestigarInvestigate Investigue as suas aplicações na cloud com ferramentas forenses de cloud para ajudar a obter informações detalhadas sobre aplicações arriscadas, utilizadores e ficheiros específicos na sua rede.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Descubra padrões nos dados recolhidos a partir da cloud.Find patterns in the data collected from your cloud. Gere relatórios para monitorizar a sua cloud.Generate reports to monitor your cloud.
ControloControl Reduza o risco através da definição de políticas e alertas para obter o máximo controlo sobre o tráfego de rede de cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Utilize o Cloud App Security para migrar os seus utilizadores para aplicações em cloud alternativas seguras e aprovadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
ProtegerProtect Use cloud App Security para sancionar ou proibir aplicações, impor a prevenção de perdas de dados, controlar permissões e partilha, e gerar relatórios e alertas personalizados.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
ControloControl Reduza o risco através da definição de políticas e alertas para obter o máximo controlo sobre o tráfego de rede de cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Utilize o Cloud App Security para migrar os seus utilizadores para aplicações em cloud alternativas seguras e aprovadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Diagrama de segurança de aplicativo de nuvem

Cloud App Security integra visibilidade com a sua nuvem por:Cloud App Security integrates visibility with your cloud by:

  • Usando o Cloud Discovery para mapear e identificar o seu ambiente em nuvem e as aplicações em nuvem que a sua organização está a usar.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • Sancionando e proibindo aplicações na sua nuvem.Sanctioning and prohibiting apps in your cloud.

  • Utilizando conectores de aplicações fáceis de implementar que aproveitem as APIs do fornecedor, para visibilidade e governação de apps a que se conecta.Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • Ajudando-o a ter um controlo contínuo, definindo e, em seguida, continuamente afinando as políticas.Helping you have continuous control by setting, and then continually fine-tuning, policies.

Ao recolher dados destas fontes, a Cloud App Security executa uma análise sofisticada sobre o mesmo.On collecting data from these sources, Cloud App Security runs sophisticated analysis on it. Alerta-o imediatamente de atividades anómalas e dá-lhe mais visibilidade para o seu ambiente em cloud.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Pode configurar uma política no Cloud App Security e utilizá-la para proteger tudo no seu ambiente em cloud.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Capacidades avançadas de deteção de ameaças de terceiros através do Mercado AzureThird-party Advanced Threat Detection capabilities through the Azure Marketplace

Firewall de Aplicação WebWeb Application Firewall

Aplicação Web Firewall inspeciona tráfego web de entrada e bloqueia injeções SQL, scripts cross-site, uploads de malware, ataques dDoS da aplicação e outros ataques direcionados para as suas aplicações web.Web Application Firewall inspects inbound web traffic and blocks SQL injections, cross-site scripting, malware uploads, application DDoS attacks, and other attacks targeted at your web applications. Também inspeciona as respostas dos servidores web back-end para prevenção de perdas de dados (DLP).It also inspects the responses from the back-end web servers for data loss prevention (DLP). O motor integrado de controlo de acesso permite aos administradores criar políticas de controlo de acesso granular para autenticação, autorização e contabilidade (AAA), o que confere às organizações uma autenticação forte e controlo do utilizador.The integrated access control engine enables administrators to create granular access control policies for authentication, authorization, and accounting (AAA), which gives organizations strong authentication and user control.

Firewall de aplicação web fornece os seguintes benefícios:Web Application Firewall provides the following benefits:

  • Deteta e bloqueia injeções SQL, Scripting Cross-Site, uploads de malware, DDoS da aplicação ou quaisquer outros ataques contra a sua aplicação.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Autenticação e controlo de acesso.Authentication and access control.

  • Digitaliza o tráfego de saída para detetar dados sensíveis e pode mascarar ou bloquear a fuga de informação.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Acelera a entrega de conteúdos de aplicações web, utilizando capacidades como cache, compressão e outras otimizações de tráfego.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Por exemplo, as firewalls de aplicações web que estão disponíveis no Mercado Azure, ver Barracuda WAF, firewall de aplicação web virtual Brocade (vWAF), Imperva SecureSphere e firewall IP ThreatSTOP.For examples of web application firewalls that are available in the Azure Marketplace, see Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall.

Passos seguintesNext steps

  • Responder às ameaças de hoje: Ajuda a identificar ameaças ativas que visam os seus recursos Azure e fornece os conhecimentos necessários para responder rapidamente.Responding to today’s threats: Helps identify active threats that target your Azure resources and provides the insights you need to respond quickly.

  • Deteção de ameaças de base de dados Azure SQL: Ajuda a resolver as suas preocupações sobre potenciais ameaças às suas bases de dados.Azure SQL Database Threat Detection: Helps address your concerns about potential threats to your databases.