Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

SC-200 Microsoft Certification > Questões Simulador Microsoft > Flashcards

Questões Simulador Microsoft Flashcards

1
Q

Você tem um manual do Microsoft Sentinel chamado Playbook1.

O Playbook1 é acionado quando um novo incidente do Microsoft Sentinel é criado.

Você cria uma regra de análise personalizada quase em tempo real (NRT) chamada NRTRule1.

Você precisa garantir que o NRTRule1 possa usar o Playbook1.

O que você deve fazer?

1- Adicione uma regra de automação ao NRTRule1.

2-Configure a automação de alertas (Classic) no NRTRule1.

3-Defina as configurações de Incidente para NRTRule1.

4-Recrie NRTRule1 como uma regra de consulta agendada.

A

1- Adicione uma regra de automação ao NRTRule1.

Explicação
Para playbooks que são acionados por uma criação de incidente e recebem incidentes como suas entradas (sua primeira etapa é “Quando um incidente do Microsoft Sentinel é acionado”), crie uma regra de automação e defina uma ação Executar playbook na regra para acionar o playbook.

A definição das configurações de Incidente para NRTRule1 não permite a adição de um manual para automação.

Recriar a consulta usando uma regra de consulta agendada é desnecessário, pois a opção está disponível na regra NRT.

A configuração da automação de alertas (clássica) no NRTRule1 é reservada para playbooks que foram configurados com o gatilho de alerta do Microsoft Sentinel.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Você tem um espaço de trabalho do Microsoft Sentinel.

Você planeja criar uma lista de observação de ativos de alto valor.

Você precisa criar uma lista dos ativos que você carregará.

Como você deve formatar a lista?

Selecione apenas uma resposta.

CSV

DOCX

XLSX

XML

A

CSV

Explicação

Se você quiser criar uma lista de observação no Microsoft Sentinel, os dados para a lista de observação devem ser preparados em um arquivo no formato CSV com um cabeçalho (.csv).

Você pode carregar o arquivo no assistente Lista de observação ao criar a lista de observação ou pode carregar o arquivo primeiro em uma conta de armazenamento e, em seguida, apontar o assistente para usar os dados na conta de armazenamento.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Você tem um espaço de trabalho do Microsoft Sentinel.

Você precisa criar uma regra de análise que usará o mapeamento de entidade.

Que tipo de regra você deve criar?

Selecione apenas uma resposta.

anomalia

fusão

análise comportamental de aprendizado de máquina (ML)

marcado

A

Marcado (
scheduled)

Explicação

O mapeamento de entidades é parte integrante da configuração de regras de análise de consulta agendada, mas também pode ser usado em regras de NRT (quase em tempo real). Ele enriquece a produção das regras (alertas e incidentes) com informações essenciais que servem como blocos de construção de quaisquer processos investigativos e ações corretivas que se seguem. O mapeamento de entidades está disponível apenas em regras agendadas e NRT, não está disponível com outros tipos de regras de análise.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Você tem um espaço de trabalho do Microsoft Sentinel que tem um conector de dados do Microsoft Defender for Cloud.

Você cria uma regra de criação de incidente da Microsoft chamada Rule1.

Você precisa garantir que a Regra1 crie incidentes com base nos alertas do Defender for Cloud.

O que você deve configurar na Regra1?

Selecione apenas uma resposta.

uma consulta de regra

detalhes do alerta

lógica da regra de análise

mapeamento de entidades

A

lógica da regra de análise

Explicação

Ao criar uma regra de criação de incidentes da Microsoft, nas configurações lógicas da regra de análise, você seleciona o produto para o qual deseja criar incidentes a partir de alertas, como o Defender for Cloud ou o Microsoft Entra ID Protection. Consultas de regras, detalhes de alerta e mapeamento de entidade estão disponíveis em consultas agendadas, mas não estão disponíveis nas regras de criação de incidentes da Microsoft.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Você tem um espaço de trabalho do Microsoft Sentinel.

Você cria a seguinte consulta de análise.

let SunburstMD5=dynamic([“b91ce2fa41029f6955bff20079468448”,”02af7cec58b9a5da1c542b5a32151ba1”,”2c4a910a1299cdae2a4e55988a2f102e”,”846e27a652a5e1bfbd0ddd38a16dc865”,”4f2eb62fa529c0283b28d05ddd311fae”]);
let SupernovaMD5=”56ceb6d0011d87b6e4d7023d7ef85676”;
imFileEvent
| where TargetFileMD5 in(SunburstMD5) or TargetFileMD5 in(SupernovaMD5)
| extend
timestamp = TimeGenerated,
AccountCustomEntity = User,
HostCustomEntity = DvcHostname,
FileHashCustomEntity = TargetFileMD5,
AlgorithmCustomEntity = “MD5”
Você precisa adicionar a consulta ao espaço de trabalho.

O que você deve fazer primeiro?

Mude para .imFileEventFileEvent

Implante um analisador ASIM (Advanced Security Information Model).

Implante o conector de dados apropriado.

Retirar.timestamp = TimeGenerated

A

Implante um analisador ASIM (Advanced Security Information Model).

Explicação

A tabela faz parte dos analisadores configurados pelo ASIM. Para usar as regras de análise criadas com analisadores ASIM, você deve primeiro implantar o ASIM em seu ambiente.imFileEvent

A remoção não corrigirá o erro para permitir que a regra seja salva. Você deve primeiro implantar o ASIM.timestamp = TimeGenerated

Alterar a tabela não corrigirá o erro e fornecerá as mesmas informações.

imFileEvent é implantado com o ASIM e não está disponível com nenhum dos conectores de dados atuais.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Você tem um espaço de trabalho do Microsoft Sentinel.

Você está testando um analisador.

Você precisa melhorar o desempenho da consulta durante o teste.

O que você deve fazer?

Selecione apenas uma resposta.

Adicione uma lista de observação.

Adicione parâmetros de filtragem.

Configure um analisador específico da origem.

Defina um filtro de tempo.

A

Adicione parâmetros de filtragem.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Você tem uma assinatura do Microsoft 365 E5.

Você planeja implantar o Microsoft Defender para Aplicativos de Nuvem.

Você precisa criar uma política que implemente a prevenção contra perda de dado (DLP).

Quais dois tipos de políticas você deve criar? Cada resposta correta apresenta uma parte da solução.

Selecione todas as respostas aplicáveis.

(Escolha mais de uma)

política de acesso

política de descoberta de aplicativos

política de arquivos

política de sessão

A

Política de Arquivos e Política de sessão.

Explicação

Em uma política de arquivo, você pode configurar o método de inspeção, que pode usar DLP integrado ou Serviços de Classificação de Dados.

As políticas de acesso permitem o monitoramento e o controle em tempo real sobre o acesso a aplicativos de nuvem com base no usuário, local, dispositivo e aplicativo.

Uma descoberta de aplicativo alerta quando novos aplicativos são detectados.

As políticas de sessão permitem monitoramento em tempo real em nível de sessão, proporcionando visibilidade granular em aplicativos de nuvem e a capacidade de executar ações diferentes dependendo da política definida para uma sessão de usuário. Isso inclui suporte para integração de DLP.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Sua empresa tem uma assinatura do Microsoft 365 E5 que contém um usuário chamado Usuário1.

Você precisa impedir que o Usuário1 envie mais de 20 mensagens de email por dia.

O que você deve configurar no Microsoft Defender para Office 365?

Selecione somente uma resposta.

uma política antiphishing

uma política anti-spam

Listas de permissões/bloqueios de locatário

Filtragem aprimorada

A

Uma política anti-spam

Explicação

Em uma política antispam de saída, você pode configurar usuários ou grupos para os quais a política se aplica, bem como um limite diário de mensagens, que limita o número de mensagens de email que um usuário pode enviar.

Uma política anti-phishing fornece proteção contra falsificação e inteligência de caixa de correio para destinatários.

A Lista de Permissões/Blocos do Locatário no portal do Microsoft 365 Defender oferece uma maneira de substituir manualmente os vereditos de filtragem do Microsoft 365. A Lista de Permissões/Blocos do Locatário é usada durante o fluxo de email para mensagens de entrada (isso não se aplica a mensagens dentro do organização) e no momento dos cliques do usuário.

A Filtragem Aprimorada permite que as informações de endereço IP e remetente sejam preservadas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Você tem uma assinatura do Microsoft 365 E5.

Você está implementando o Microsoft Defender para Ponto de Extremidade.

Você precisa garantir que pode bloquear endereços IP e URLs específicos.

Qual recurso avançado você deve habilitar?

Selecione somente uma resposta.

Indicadores de rede personalizados

Habilitar EDR no modo de bloqueio

Restringir a correlação a grupos de dispositivos dentro do escopo

Filtragem de conteúdo da Web

A

Habilitar Indicadores de rede persolanizados

Explicação

Indicadores de rede personalizados configuram dispositivos para permitir ou bloquear conexões com endereços IP, domínios ou URLs em listas de indicadores personalizados.

A *filtragem de conteúdo da Web *bloqueia o acesso a sites que contêm conteúdo indesejado e rastreia a atividade da Web em todos os domínios. Para especificar as categorias de conteúdo da Web que você deseja bloquear, crie uma política de filtragem de conteúdo da Web.

Quando Habilitar EDR no modo de bloqueio está ativado, o Defender para Ponto de Extremidade aproveita os recursos de bloqueio e contenção comportamental, bloqueando artefatos ou comportamentos maliciosos observados por meio de recursos de EDR pós-violação.

Quando a configuração Restringir correlação a dentro de grupos de dispositivos com escopo é ativada, os alertas são correlacionados em incidentes separados com base em seu grupo de dispositivos com escopo. Por padrão, a correlação de incidentes ocorre em todo o escopo do locatário.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Sua empresa tem os seguintes dispositivos:

Um dispositivo Windows 11 chamado Dispositivo1
Um dispositivo Windows 10 chamado Dispositivo2
Um dispositivo iOS chamado Device3
Um dispositivo Android chamado Dispositivo4
Quais dispositivos podem ser integrados e protegidos usando o Microsoft Defender para Ponto de Extremidade?

Selecione somente uma resposta.

Somente o Device1 e o Device2

Somente o Device1, o Device2 e o Device3

Somente o Dispositivo1, o Dispositivo2 e o Dispositivo4

Device1, Device2, Device3 e Device4

Somente Device1

A

Device1, Device2, Device3 e Device4

Explicação

Você pode integrar os seguintes pontos de extremidade ao Defender para Ponto de Extremidade: Cliente Windows, Windows Server, macOS, Linux Server, iOS e Android. Por isso, você pode integrar e proteger o Dispositivo1, o Dispositivo2, o Dispositivo3 e o Dispositivo4 usando o Defender para Ponto de Extremidade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Você tem um locatário híbrido do Azure AD e uma assinatura do Microsoft 365 E5.

Você precisa identificar os usuários de alto risco que executaram uma redefinição de senha nos últimos 14 dias.

O que você deve usar?

Selecione somente uma resposta.

a Pasta de trabalho de análise de riscos da Proteção de Identidade do Azure AD

a Pasta de trabalho do Relatório de Operações confidenciais no Azure AD

o relatório de Entradas de risco

o relatório de Usuários arriscados

A

O relatório de Usuários arriscados

Explicação

O *relatório de usuários arriscados *permite que você examine as entradas arriscadas e sinalize cada uma delas como seguras ou comprometidas com base nos resultados de uma investigação e nas informações fornecidas pelo console. As informações podem ser filtradas usando os filtros na parte superior do relatório. O relatório de usuários arriscados tem um filtro para detalhes de risco que inclui a seguinte configuração: O usuário executou a redefinição da senha de segurança

O *relatório de entradas arriscadas *exibe uma lista de contas de usuário consideradas arriscadas.

A pasta de trabalho de análise de risco da Proteção de Identidade do Azure AD ajuda você a analisar o estado de risco na organização.

A pasta de trabalho Relatório de Operações Confidenciais do Azure AD se destina a ajudar a identificar aplicativos suspeitos e atividades de entidade de serviço que podem indicar comprometimentos no seu ambiente.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Você tem um domínio local do Serviços de Domínio do Active Directory (AD DS) que contém um controlador de domínio chamado DC1.

Você tem uma assinatura do Microsoft 365 E5.

Você precisa instalar os sensores do Microsoft Defender para Identidade no DC1.

Quais credenciais são necessárias para concluir a instalação?

Selecione somente uma resposta.

chave de acesso

certificado

PIN

nome de usuário e senha do usuário do Azure Active Directory

A

chave de acesso

Explicação

Durante a instalação de um sensor do Defender para Identidade, você precisa fornecer o caminho de instalação em que o sensor será instalado e uma chave de acesso. A chave de acesso é usada pelo sensor para autenticar no serviço de nuvem.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Identidade.

Você precisa baixar um relatório de alerta detalhado do Defender para Identidade.

Qual formato o relatório usará?

Selecione somente uma resposta.

CSV

JSON

TXT

XLSX

A

XLSX

Explicação

Cada alerta de segurança do Defender para Identidade inclui o título do alerta, a descrição, a evidência e o download do Microsoft Excel, que inclui um relatório detalhado para análise.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Você tem uma assinatura do Microsoft 365 E5.

Você planeja criar uma consulta de busca do Microsoft 365 Defender para identificar usuários afetados clicando em uma URL suspeita.

Você precisa criar uma regra de detecção que marcará o usuário como comprometido.

Quais duas propriedades você deve incluir na regra? Cada resposta apresenta uma parte da solução.

Selecione todas as respostas aplicáveis.

AccountUpn

AlertId

ReportId

TimeGenerated

A

AccountUpn e ReportId

Explicação

Para usar uma consulta em uma regra de detecção personalizada, a consulta deve retornar as seguintes colunas:

Timestamp: Usado para definir o carimbo de data/hora para alertas gerados
ReportId: Habilita pesquisas para os registros originais
Uma das seguintes colunas identifica dispositivos, usuários ou caixas de correio específicos:

DeviceId
DeviceName
RemoteDeviceName
RecipientEmailAddress
SenderFromAddress (remetente ou Return-Path endereço do envelope)
SenderMailFromAddress (endereço do remetente exibido pelo cliente de email)
RecipientObjectId
AccountObjectId
AccountSid
AccountUpn
InitiatingProcessAccountSid
InitiatingProcessAccountUpn
InitiatingProcessAccountObjectId

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Você tem uma assinatura do Microsoft 365 E5.

Você precisa criar uma regra de detecção personalizada usando uma consulta de busca.

Quais duas colunas a consulta deve retornar? Cada resposta correta apresenta uma parte da solução.

Selecione todas as respostas aplicáveis.

AlertId

ReportId

TimeGenerated

Timestamp

A

ReportId e Timestamp

Explicação

Para usar uma consulta em uma regra de detecção personalizada, a consulta deve retornar as seguintes colunas:

Timestamp: Usado para definir o carimbo de data/hora para alertas gerados
ReportId: Habilita pesquisas para os registros originais

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Ponto de Extremidade e contém um dispositivo chamado Dispositivo1.

O Dispositivo1 disparou um alerta de alta gravidade.

Você precisa examinar os eventos que ocorreram antes do alerta ser disparado.

O que você deve fazer primeiro no portal do Microsoft 365 Defender?

Selecione somente uma resposta.

Na página Dispositivo, selecione Busca Go.

Na página Dispositivo, selecione a guia Linha do Tempo.

No portal do Microsoft 365 Defender, consulte Device1 no Advanced Hunting.

A

Na página do dispositivo, selecione a guia Linha do Tempo

Explicação

Você pode examinar os eventos que ocorreram antes do alerta de alta gravidade ser disparado selecionando a guia Linha do Tempo na página Dispositivo.

A busca Go é usada quando um evento é selecionado para caçar outros eventos relevantes na Busca Avançada e a Busca Avançada permite que você procure proativamente por ameaças.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Aplicativos de Nuvem.

Você precisa criar uma política do Defender para Aplicativos de Nuvem que gerará alertas com base em um classificador treinável.

Que tipo de política você deve criar?

Selecione somente uma resposta.

política de acesso

política de atividade

política de arquivos

Política de detecção de anomalia do Cloud Discovery

A

política de arquivos

Explicação

As políticas de arquivo permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de nuvem. As políticas de arquivo podem ser configuradas para fornecer verificações de conformidade contínuas, tarefas de Descoberta Eletrônica legais, prevenção de perda de dados (DLP) para conteúdo confidencial compartilhado publicamente e muito mais casos de uso. O Defender para Aplicativos de Nuvem pode monitorar qualquer tipo de arquivo com base em mais de 20 filtros de metadados, como nível de acesso, tipo de arquivo e classificadores treináveis.

As políticas de atividade permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de aplicativos. Essas políticas permitem monitorar atividades específicas executadas por vários usuários ou seguir taxas inesperadamente altas de um determinado tipo de atividade. Depois de definir uma política de atividade, ela começa a gerar alertas. Os alertas só são gerados em atividades que ocorrem depois que você cria a política.

As políticas de acesso permitem o monitoramento e o controle em tempo real sobre o acesso a aplicativos de nuvem com base no usuário, local, dispositivo e aplicativo. Você pode criar políticas de acesso para qualquer dispositivo, incluindo dispositivos que não são ingressados no Azure AD híbrido e não gerenciados usando o Microsoft Intune, distribuindo certificados de cliente para dispositivos gerenciados ou usando certificados existentes, como certificados MDM de terceiros.

Uma política de detecção de anomalias do Cloud Discovery permite que você configure e configure o monitoramento contínuo de aumentos incomuns no uso do aplicativo de nuvem. Aumentos de dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo de nuvem. Cada aumento é comparado ao padrão de uso normal do aplicativo, conforme aprendido com o uso anterior. Os aumentos mais extremos disparam alertas de segurança.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Ponto de Extremidade.

Você precisa ser notificado quando informações de análise de ameaças novas ou atualizadas forem adicionadas ao Microsoft 365 Defender.

Quais são os dois métodos que você pode utilizar? Cada resposta apresenta uma solução completa.

Selecione todas as respostas aplicáveis.

Configurar uma regra de automação do Microsoft Sentinel.

Configurar uma regra de notificação por email de análise de ameaças.

Configurar uma regra de notificação por email de vulnerabilidades.

Configurar uma regra de detecção de Busca Avançada.

Configurar uma regra de notificação por email de alerta.

A

configurar uma regra de notificação por email de análise de ameaças e configurar uma regra de detecção de Busca Avançada.

Explicação

Uma regra de notificação de email de análise de ameaças enviará por email ao destinatário configurado um relatório com informações atualizadas e novas de análise de ameaças.

Uma regra de detecção avançada de busca pode ser criada com a consulta apropriada para alertar um usuário sobre informações de vulnerabilidade novas ou atualizadas.

Uma regra de notificação por email de alerta enviará um alerta por email ao destinatário configurado.

Uma regra de notificação de email de vulnerabilidades enviará por email informações de vulnerabilidade de dispositivo e software para o destinatário configurado.

Uma regra de automação do Microsoft Sentinel não enviará um alerta sobre novas informações de análise de ameaças no portal do Microsoft 365 Defender.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Você tem uma assinatura do Microsoft 365 E5.

Você precisa garantir que pode identificar e proteger documentos confidenciais na assinatura. A solução deve garantir que você possa impedir que os usuários enviem informações confidenciais aos usuários em organizações externas usando o Microsoft Teams ou o Slack. A solução deve usar a inspeção de conteúdo em tempo real.

O que você deve implantar?

Selecione somente uma resposta.

Microsoft Defender for Cloud Apps

Microsoft Defender para Contêineres

Microsoft Defender para ponto de extremidade

Microsoft Defender para Office 365

A

Microsoft Defender for CLoud Apps

Explicação

Microsoft defender for Cloud Apps funciona como um gatekeeper e assim ele ocntrola tanto os recursos como os usuários não importa se são de dentro ou fora da organização.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Ponto de Extremidade.

Você implanta um aplicativo chamado App1. O App1 limpa os logs de um servidor de aplicativos.

Quando o App1 é executado, ele dispara um alerta do Microsoft Defender.

Você precisa impedir que o App1 dispare alertas. A solução deve garantir que outros aplicativos ainda disparem alertas.

O que você deve configurar?

Selecione somente uma resposta.

uma regra de detecção

uma regra de supressão

uma política de alerta

uma investigação automatizada

A

uma regra de supressão

Explicação

Você pode criar regras de supressão para alertas específicos conhecidos como inofensivos, como ferramentas ou processos conhecidos em sua organização. Você pode controlar o contexto para quando um alerta é suprimido especificando o título do alerta, o indicador de comprometimento (IoC) e as condições. Depois de especificar o contexto, você pode configurar a ação e o escopo no alerta.

Os* recursos de investigação e resposta automatizados (AIR)* foram projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos AIR reduzem de forma significativa o volume de alertas, permitindo que as operações de segurança se concentrem nas ameaças mais sofisticadas e outras iniciativas de alto valor.

As políticas de alerta permitem que você acompanhe atividades de usuário e administrador, ameaças de malware ou incidentes de perda de dados em sua organização.

Regras de detecção personalizadas são regras que você pode projetar e ajustar usando consultas de Busca Avançada. Essas regras permitem monitorar proativamente vários eventos e estados do sistema, incluindo suspeita de atividade de violação e pontos de extremidade configurados incorretamente. Você pode defini-las para execução em intervalos regulares, para gerar alertas e para realizar ações de resposta sempre que houver correspondências.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Você tem um Centro de Operações de Segurança (SOC) e um workspace do Microsoft Sentinel.

Você precisa garantir que os analistas do SOC de camada 1 possam gerenciar incidentes no Microsoft Sentinel executando guias estratégicos pré-configurados. A solução deve atender aos seguintes requisitos:

Impedir que os analistas façam alterações nos guias estratégicos ou no workspace do Microsoft Sentinel.
Siga o princípio dos privilégios mínimos.
Qual função ou funções você deve atribuir aos analistas?

Selecione somente uma resposta.

Colaborador de automação do Microsoft Sentinel

Colaborador do Microsoft Sentinel

Respondente do Microsoft Sentinel e Colaborador do Aplicativo Lógico

Respondente do Microsoft Sentinel e Colaborador do Aplicativo Lógico

A

Respondente do Microsoft Sentinel e Colaborador do Aplicativo Lógico

Explicação

O *Respondente do Microsoft Sentinel *permite visualizar dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. O Operador de Aplicativo Lógico permite ler, habilitar e desabilitar aplicativos lógicos, mas não permite editá-los ou atualizá-los.

O *Colaborador de Aplicativos Lógicos *anexa guias estratégicos a regras de análise e automação e executa guias estratégicos.

Além dos itens citados acima, o *Colaborador do Microsoft Sentinel *pode criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel.

O Colaborador de Automação do Microsoft Sentinel permite que o Microsoft Sentinel adicione guias estratégicos às regras de automação. Não é destinado em relação as contas de usuário.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Você tem uma assinatura do Azure e um site do Microsoft SharePoint Online chamado Site1.

Você está implementando o Microsoft Sentinel.

Você precisa coletar eventos do Site1.

Qual conector de dados você deve adicionar ao Microsoft Sentinel?

Selecione somente uma resposta.

Microsoft Defender para Office 365

Office 365

Eventos de Segurança por meio do Agente Herdado

Syslog

A

Office 365

Explicação

Após integrar o Microsoft Sentinel com o workspace, você pode usar os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel inclui mais de 120 conectores de dados para a Microsoft e fontes de dados de terceiros.

O Office 365 é um dos conectores de dados disponíveis do Microsoft Sentinel. O conector ingere dados do Office 365, que inclui o Microsoft Teams, o Exchange Online e o SharePoint Online.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Você tem uma assinatura do Azure que contém um workspace do Microsoft Sentinel implantado na região Oeste dos EUA do Azure.

Você tem as seguintes máquinas virtuais do Azure:

Uma máquina virtual chamada VM1 que executa o Windows Server 2022 e está implantada na região Leste dos EUA do Azure
Uma máquina virtual chamada VM2 que executa o Windows Server 2019 e está implantada na região Oeste dos EUA
Uma máquina virtual chamada VM3 que executa o Windows 10 e está implantada na região Leste dos EUA
Uma máquina virtual chamada VM4 que executa o Windows 11 e está implantada na região Oeste dos EUA
Você implanta eventos de segurança do Windows por meio do conector de dados do Agente de Monitoramento do Azure (AMA) no workspace do Microsoft Sentinel.

De quais máquinas virtuais você pode coletar eventos?

Selecione somente uma resposta.

Somente VM1 e VM2

VM1, VM2, VM3 e VM4

Somente VM2 e VM4

Somente VM2

A

VM1, VM2, VM3 e VM4

Explicação

Os Eventos de Segurança do Windows por meio do conector de dados AMA podem ingerir eventos de segurança de qualquer máquina virtual do Windows Azure, independentemente de executar o Windows Server ou o cliente Windows e independentemente da região na qual ele é implantado. Dessa forma, você pode coletar eventos de VM1, VM2, VM3 e VM4.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Você está implementando o Microsoft Sentinel.

Você adiciona um conector de dados do Azure AD Identity Protection ao Microsoft Sentinel.

Você precisa verificar se os dados são ingeridos do conector.

Qual tabela você deve consultar?

Selecione somente uma resposta.

AzureDiagnostics

CommonSecurityLog

SecurityAlert

SecurityEvents

A

SecurityAlert

Explicação

Quando você adiciona um conector de dados do Azure AD Identity Protection no Microsoft Sentinel, ele armazena dados ingeridos na tabela SecurityAlert em um workspace do Log Analytics.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

Criar um workspace do Microsoft Sentinel.

Você precisa criar uma variável chamada WLVar1 que conterá uma lista de watchlists disponíveis.

Qual consulta você deve executar?

Selecione somente uma resposta.

_GetWatchlist(‘WLVar1’)

let WLVar1 = _GetWatchlist();

let WLVar1 = _GetWatchlist(‘All’);

let WLVar1 = Watchlist;

A

let WLVar1 = Watchlist;

Explicação

O comando Watchlist lista toda a watchlist disponível no workspace. Quando salvas em uma variável, as informações podem ser usadas para selecionar a watchlist apropriada como parte da consulta.

let WLVar1 = _GetWatchlist(); requer que o nome da watchlist esteja presente ou fornecido no restante da consulta.

let WLVar1 = _GetWatchlist(‘All’); obterá a watchlist chamada “Todos”.

_GetWatchlist(‘WLVar1’) obterá a watchlist chamada “WLVar1”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Você tem um guia estratégico do Microsoft Sentinel chamado GuiaEstratégico1.

O GuiaEstratégico1 é disparado quando um novo incidente do Microsoft Sentinel é criado.

Você cria uma regra de análise personalizada quase em tempo real (NRT) chamada NRTRegra1.

Você precisa garantir que o NRTRegra1 possa usar o GuiaEstratético1.

O que você deve fazer?

Selecione somente uma resposta.

Adicionar uma regra de automação ao NRTRegra1.

Configurar a Automação de Alertas (Clássica) no NRTRegra1.

Definir as configurações de Incidente para NRTRegra1.

Recriar o NRTRegra1 como uma regra de consulta agendada.

A

Adicionar uma regra de automação ao NRTRegra1.

Explicação

Para guias estratégicos que são disparados pela criação de incidentes e recebem incidentes como suas entradas (a primeira etapa é quando um incidente do Microsoft Sentinel é disparado), crie uma regra de automação e defina uma ação de Executar guia estratégico nela.

Definir as configurações de incidente para NRTRegra1 não permite a adição de um guia estratégico para automação.

Recriar a consulta usando uma regra de consulta agendada é desnecessária, pois a opção está disponível na regra NRT.

A configuração da Automação de Alertas (Clássica) no NRTRegra1 é reservada para guias estratégicos que foram configurados com o gatilho de alerta do Microsoft Sentinel.

27
Q

Criar um workspace do Microsoft Sentinel.

Você implanta um novo dispositivo de segurança conectado ao workspace usando o conector de dados do Formato Comum de Evento (CEF)

Você precisa desenvolver um analisador personalizado para interpretar os dados do dispositivo.

O que você deve fazer primeiro?

Selecione somente uma resposta.

Coletar logs de exemplo.

Criar um guia estratégico.

Mapear os campos de evento de origem para o esquema identificado.

Alternar para o conector do Syslog.

A

Coletar Logs de Exemplo

Explicação

Para criar analisadores do ASIM eficazes, você precisa de um conjunto representativo de logs, o que, na maioria das vezes, exigirá a configuração do sistema de origem e a conexão com o Microsoft Sentinel. Se você não tiver o dispositivo de origem disponível, os serviços de pagamento em nuvem conforme o uso permitirão implantar muitos dispositivos para o desenvolvimento e teste.

Mapear os campos de evento de origem para o esquema identificado é a terceira etapa na criação de um analisador personalizado. Primeiro, você deve coletar dados de exemplo.

Criar um guia estratégico não faz parte da criação de um analisador personalizado.

Alternar para o conector do Syslog não faz parte da solução. Qualquer tabela de dados configurada que atenda aos requisitos mínimos pode ser usada como um analisador personalizado.

28
Q

Criar um workspace do Microsoft Sentinel.

Você cria a consulta KQL a seguir.

let timeframe = ago(3h);
let threshold = 5;
//ParserName
| where TimeGenerated > timeframe
| where EventType==’Logon’ and EventResult==’Success’
| where isnotempty(SrcGeoCountry)
| summarize StartTime = min(TimeGenerated), EndTime = max(TimeGenerated), Vendors=make_set(EventVendor), Products=make_set(EventProduct), ‘
NumOfCountries = dcount(SrcGeoCountry) by TargetUserId, TargetUserPrincipalName, TargetUserType
| where NumOfCountries >= threshold
| extend timestamp = StartTime, AccountCustomEntity = TargetUserPrincipalName
Você precisa concluir a consulta para garantir que ela identifique entradas bem-sucedidas de vários países durante as últimas três horas.

Qual nome do analisador você deve inserir na consulta na posição marcada com o comentário //ParserName?

Selecione somente uma resposta.

imAuthentication

_Im_Dns

imProcessCreate

imWebSession

A

imAuthentication

Explicação

A tabela a seguir lista os analisadores unificadores disponíveis:

Schema | Unifying parser|
| Authentication | imAuthentication|
| Dns| _Im_Dns|
| File Event| imFileEvent|
| Network Session |_Im_NetworkSession |
| Process Event| imProcessCreate and imProcessTerminate|
| Registry Event | imRegistry|
| Web Session | _Im_WebSession|

29
Q

Criar um workspace do Microsoft Sentinel.

Você precisa criar um analisador personalizado sem parâmetros para um modelo de informações de autenticação.

Qual sintaxe deve ser usada?

Selecione somente uma resposta.

ASimAuthentication

ASiAuthentication<vendor><Product></Product></vendor>

imAuthentication

vimAuthentication<vendor><Product></Product></vendor>

A

ASiAutentication<vendedor><Product></Product></vendedor>

Explicação

Ao implementar analisadores personalizados para o modelo de informação de autenticação, dê um nome às suas funções KQL usando a sintaxe a seguir:

vimAuthentication<vendor><Product> para filtrar analisadores
ASiAuthentication<vendor><Product> para analisadores sem parâmetros
vimAuthentication<vendor><Product> é a convenção de nomenclatura para filtragem de analisadores.</Product></vendor></Product></vendor></Product></vendor>

imAuthentication é a tabela do analisador de filtragem e não deve ser usada para um nome de analisador personalizado.

ASimAuthentication é a tabela de analisador sem parâmetros e não deve ser usada para um nome de analisador personalizado.

30
Q

Criar um workspace do Microsoft Sentinel.

Você está testando um analisador.

Você precisa melhorar o desempenho da consulta durante o teste.

O que você deve fazer?

Selecione somente uma resposta.

Adicionar uma lista de observação.

Adicionar parâmetros de filtragem.

Configurar um analisador específico da origem.

Definir um filtro de tempo.

A

Adicionar parâmetros de filtragem

Explicação

O uso de analisadores pode afetar o desempenho da consulta, principalmente a partir da filtragem dos resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e aprimorar o desempenho da consulta. Com a otimização de consulta e os esforços de pré-filtragem, os analisadores do Modelo de Informações de Segurança Avançado (ASIM) geralmente fornecem melhor desempenho em comparação com o não uso da normalização.

Adicionar uma watchlist não melhorará o desempenho do analisador.

Adicionar um filtro de tempo não melhorará o desempenho do analisador.

A configuração de um analisador específico da origem não melhorará o desempenho do analisador.

31
Q

Você tem um workspace do Microsoft Sentinel e um guia estratégico chamado GuiaEstratégico1.

Você precisa garantir que pode executar manualmente o GuiaEstratégico1. de uma investigação de incidentes. A solução deve garantir que o GuiaEstratégico1 esteja disponível a partir de Ações na janela de informações sobre incidentes.

O que você deve fazer?

Selecione somente uma resposta.

Adicionar a função de Colaborador de Automação do Microsoft Sentinel ao Playbook1.

Atualizar o Guia Estratégico1 para usar uma identidade gerenciada.

Atualizar o Guia Estratégico1 para usar o gatilho de alerta.

Atualizar o Guia Estratégico1 para usar o gatilho de incidente.

A

Atualizar o Guia Estratégico 1 (playbook1) para usar o gatilho de incidente.

Explicação

O guia estratégico recebe objetos de incidente, incluindo entidades e alertas. O uso desse gatilho permite que o playbook seja anexado a uma regra de automação, para que possa ser acionado quando um incidente for criado (e agora também atualizado) no Microsoft Sentinel, e todos os benefícios das regras de automação possam ser aplicados ao incidente.

Atualizar o guia estratégico para usar o gatilho de alerta é aconselhável para guias estratégicos que precisam ser executados manualmente em alertas do portal do Microsoft Sentinel ou para regras de análise agendadas que não geram incidentes para seus alertas.

A alteração da autenticação no guia estratégico não corrigirá o problema.

32
Q

Criar um workspace do Microsoft Sentinel.

Você desenvolve um guia estratégico chamado Guia Estratégico1.

Você precisa executar um teste manual do GuiaEstratégico1 no portal do Microsoft Sentinel.

Qual folha você deve selecionar primeiro?

Selecione somente uma resposta.

Análise

Automação

Caça

Incidentes

A

Incidentes

Explicação

Você pode executar manualmente um guia estratégico sob demanda, em incidentes e alertas. Isso pode ser útil em situações em que você deseja mais entrada de origem humana e controle sobre processos de orquestração e resposta. Para executar um guia estratégico manualmente em um alerta, primeiro selecione Incidentes no Microsoft Sentinel, selecione o incidente específico e selecione Exibir detalhes completos. Na página de detalhes do incidente, selecione a guia Alertas, escolha o alerta no qual você deseja executar o guia estratégico e selecione o link Exibir guias estratégicos no final da linha desse alerta. O painel Guias Estratégicos de Alerta é aberto e você vê uma lista de todos os guias estratégicos configurados com o gatilho Aplicativos Lógicos de Alerta do Microsoft Sentinel aos quais você tem acesso.

33
Q

Criar um workspace do Microsoft Sentinel.

Você precisa criar um guia estratégico que será executado automaticamente em resposta a um incidente do Microsoft Sentinel.

O que você deve criar primeiro?

Selecione somente uma resposta.

uma consulta de busca

um aplicativo lógico

um gatilho

uma regra de automação

A

Um aplicativo lógico

Explicação

O Microsoft Sentinel se integra aos Aplicativos Lógicos do Azure, permitindo que você crie fluxos de trabalho automatizados ou guias estratégicos em resposta a eventos.

34
Q

Sua empresa tem uma assinatura do Microsoft 365 E5 que contém um usuário chamado Usuário1.

Criar um workspace do Microsoft Sentinel.

Você recebe vários alertas para entradas com falha para o Usuário1. Você investiga os alertas e identifica que eles são falsos positivos.

Você precisa impedir que alertas de entrada com falha adicionais sejam gerados para o Usuário1. A solução deve garantir que os alertas de entrada com falha sejam gerados para outras contas.

O que você deve fazer?

Selecione somente uma resposta.

Adicionar um modelo de atividade ao comportamento da entidade.

Criar uma Watchlist.

Criar uma regra de automação.

Atualize a regra de análise.

A

Atualize a regra de análise

explicação

Na guia Regras de automação, na folha Automação, crie uma nova regra de automação e especifique as condições apropriadas e as ações desejadas. Esta regra de automação será aplicada a qualquer regra de análise que atenda às condições especificadas.

Para impedir que a conta de usuário dispare um alerta, a entidade de usuário deve ser excluída atualizando a consulta que dispara o alerta. Isso impedirá que a conta dispare alertas adicionais para a regra de análise.

As listas de observação são usadas para armazenar listas de informações que podem ser referenciadas por uma consulta.

Uma regra de automação fechará o alerta depois que ele foi registrado e não impedirá que o formulário de alerta ocorra.

Os modelos de atividade no comportamento da entidade não impedem que alertas sejam disparados.

35
Q

Você gerencia o Microsoft Sentinel para 20 clientes. Cada cliente tem seu próprio workspace do Microsoft Sentinel.

Você planeja usar a exibição de vários workspaces no Microsoft Sentinel.

Você precisa identificar quais recursos do Microsoft Sentinel você pode usar no modo de exibição de Vários workspaces?

O que você pode usar?

Selecione somente uma resposta.

Incidentes, Análise e Busca

Somente Incidentes e Análise

Somente incidentes e Inteligência contra ameaças

Somente incidentes

A

somente incidentes

Explicação

Ao abrir o Microsoft Sentinel, você receberá uma lista de todos os workspaces aos quais você tem direitos de acesso. Selecionar o nome de um único workspace vai levá-lo a esse workspace. Para escolher vários workspaces, marque todas as caixas de seleção correspondentes e, em seguida, selecione o botão Ver incidentes na parte superior da página. No momento, a exibição de vários workspaces está disponível apenas para incidentes.

36
Q

Criar um workspace do Microsoft Sentinel.

Você precisa investigar incidentes usando o Microsoft Sentinel.

Qual é a idade máxima dos incidentes que podem ser investigados?

Selecione somente uma resposta.

7 dias

14 dias

30 dias

90 dias

A

30 dias

Explicação

No momento, o Azure Sentinel dá suporte à investigação de incidentes de até 30 dias. Incidentes mais antigos não podem ser investigados no Microsoft Sentinel.

37
Q

Criar um workspace do Microsoft Sentinel.

Você cria as seguintes regras de análise no Microsoft Sentinel:

Uma regra quase em tempo real (NRT) chamada Regra1
Uma regra de fusão chamada Regra2
Uma regra agendada chamada Regra3
Uma regra de segurança da Microsoft chamada Regra4
Você precisa identificar quais regras gerarão incidentes que podem ser investigados usando o Microsoft Sentinel.

Quais regras você deve identificar?

Selecione somente uma resposta.

Somente Regra1 e Regra2

Somente Regra1 e Regra3

Somente Regra1, Regra2 e Regra3

Regra1, Regra2, Regra3 e Regra4

Somente Regra4

A

Somente regra 1 (NRT) e regra 3 (Agendada)

Explicação

Você só pode investigar incidentes no Microsoft Sentinel que foram gerados por regras de análise nas quais você usou os campos de mapeamento de entidade. O grafo de investigação exige que o incidente original inclua as entidades.

O mapeamento de entidade está disponível apenas em regras de NRT e agendadas, não está disponível com outros tipos de regra de análise. Dessa forma, você pode investigar incidentes somente da Regra1 e da Regra3.

38
Q

Você tem um workspace do Microsoft Sentinel e uma máquina virtual do Azure chamada VM1.

Você abre um grafo de investigação para o incidente.

O que o grafo de investigação mostra se você passar o mouse sobre a VM1?

Selecione somente uma resposta.

os últimos cinco eventos de segurança para VM1

o grupo de segurança de rede (NSG) para VM1

as portas abertas na VM1

os processos em execução na VM1

A

Os processos em execução na VM1

Explicação

O gráfico de investigação permite que os analistas façam as perguntas certas para cada investigação. O grafo de investigação ajuda a entender o escopo e identificar a causa raiz de uma possível ameaça à segurança ao correlacionar os dados relevantes com qualquer entidade envolvida. Por exemplo, se você passar o mouse sobre a máquina virtual do Azure, obterá a lista de processos em execução nessa máquina virtual.

39
Q

Criar um workspace do Microsoft Sentinel.

Você precisa criar uma sessão de transmissão ao vivo no Microsoft Sentinel.

Qual recurso do Microsoft Sentinel você pode adicionar à transmissão ao vivo?

Selecione somente uma resposta.

uma consulta de busca

uma watchlist

uma consulta do analytics

um incidente

A

Uma consulta de busca

Explicação

Use a transmissão ao vivo de busca para criar sessões interativas que permitem que você teste consultas recém-criadas à medida que ocorrerem eventos, receba notificações das sessões quando uma correspondência for encontrada e inicie investigações, se necessário. Você pode criar rapidamente uma sessão transmissão ao vivo usando qualquer consulta do Log Analytics. Você pode criar uma sessão de transmissão ao vivo de uma consulta de busca existente ou criar sua sessão do zero.

40
Q

Você tem uma assinatura do Azure que contém um workspace do Microsoft Sentinel.

Você tem a consulta a seguir.

AzureActivity
| summarize count() by OperationName, bin(TimeGenerated, 4h)
Você precisa atualizar a consulta KQL para mostrar a saída gráfica.

Qual operador você deve usar?

Selecione somente uma resposta.

print

project

project-away

render

A

render

explicação

O operador render gera uma visualização dos resultados da consulta.

O operador summarize produz uma tabela que agrega o conteúdo da tabela de entrada.

O operador print gera uma única linha com um ou mais resultados de expressão escalar como colunas.

O operador project é usado para selecionar as colunas a serem incluídas, renomeadas ou suspensas e insere novas colunas computadas.

41
Q

Você tem um Centro de Operações de Segurança (SOC) e um workspace do Microsoft Sentinel.

Você planeja fornecer ao gerente do SOC uma pasta de trabalho do Microsoft Sentinel que inclua as seguintes métricas:

Incidente criado ao longo do tempo
Tempo médio de triagem
Você precisa criar a pasta de trabalho usando um modelo. A solução deve minimizar os esforços administrativos.

Qual modelo você deve utilizar?

Selecione somente uma resposta.

Eficiência da Análise

Visão geral do incidente

Insights de investigação

Alertas de segurança

Eficiência das Operações de segurança

A

Eficiencia das operações de segurança

Explicação

Você pode usar o modelo de pasta de trabalho de eficiência de operações de segurança para monitorar as operações do SOC. A pasta de trabalho contém muitas métricas, incluindo incidentes criados ao longo do tempo e tempo médio para triagem. Essas métricas não estão disponíveis em outros modelos de pasta de trabalho, portanto, você minimizará o esforço administrativo se usar o modelo de eficiência de Operações de segurança.

42
Q

Você tem uma assinatura do Azure que contém um workspace do Microsoft Sentinel.

Você desenvolve três consultas de busca.

Você precisa garantir que as consultas de busca executem cada vez que você abrir a folha Buscar.

O que você deve fazer?

Selecione somente uma resposta.

Adicionar as consultas como Indicadores.

Adicionar as consultas como Favoritos.

Adicionar as consultas a uma transmissão ao vivo.

Criar uma regra de análise.

A

Adicionar as consultas como Favoritos

Explicação

As consultas salvas em seus favoritos são executadas automaticamente sempre que a página Buscar é acessada.

Uma regra de análise será executada gerando alertas continuamente conforme eles são descobertos.

Use a transmissão ao vivo de busca para criar sessões interativas que permitem que você teste consultas recém-criadas à medida que ocorrerem eventos, receba notificações das sessões quando uma correspondência for encontrada e inicie investigações, se necessário. Você pode criar rapidamente uma sessão transmissão ao vivo usando qualquer consulta do Log Analytics.

Os indicadores de busca no Microsoft Sentinel podem ajudar na busca de ameaças preservando as consultas executadas em Microsoft Sentinel - Logs, juntamente com os resultados de consultas que você considere relevantes. Você também pode registrar observações de contexto e consultar as descobertas alcançadas adicionando anotações e marcações. Os dados de indicadores ficam visíveis para você e seus colegas de equipe para facilitar a colaboração.

43
Q

Criar um workspace do Microsoft Sentinel.

Você tem a seguinte consulta de busca.

SigninLogs
| where TimeGenerated > ago(7d)
| extend ErrorCode = tostring(Status.errorCode)
| extend FailureReason = tostring(Status.failureReason)
| where ErrorCode in (“50053”, “50079”)
| project UserPrincipalName, IPAddress, AppDisplayName, [‘Error Code’] = ErrorCode, [‘Reason’]= FailureReason
Você execute a consulta e selecione os resultados a serem adicionados como um indicador.

Qual coluna projetada NÃO está mapeada para uma entidade?

Selecione somente uma resposta.

AppDisplayName

IPAddress

Reason

UserPrincipalName

A

reason

Explicação

Reason não tem um mapeamento de entidade apropriado ao criar uma consulta de busca.

AppDisplayName pode ser mapeado para o mapeamento de entidade de aplicativo de nuvem ao criar uma consulta de busca.

IPAddress pode ser mapeado para o mapeamento de entidade IP ao criar uma consulta de busca.

UserPrincipalName pode ser mapeado para o mapeamento de entidade de conta ao criar uma consulta de busca.

44
Q

Você tem um workspace do Microsoft Sentinel que tem os seguintes conectores de dados configurados:

SigninLogs
AuditLogs
SecurityAlerts
Você precisa criar uma consulta que procure um endereço IP nas três tabelas de dados configuradas e retorne as linhas correspondentes.

Qual operador você deve usar?

Selecione somente uma resposta.

extend

join

lookup

union

A

Union

Explicação

O operadorunion reúne duas ou mais tabelas e retorna as linhas de todas elas.

O operador join mescla as linhas das duas tabelas para formar uma nova tabela, correspondendo valores das colunas especificadas de cada tabela.

O operador extend cria colunas calculadas e acrescenta as novas colunas ao conjunto de resultados.

O operador lookup estende as colunas de uma tabela de fatos com valores pesquisados em uma tabela de dimensões.

45
Q

Você tem uma assinatura do Microsoft 365 E5 e um workspace do Microsoft Sentinel.

Você crie uma consulta personalizada chamada Consulta1.

Você precisa testar o Consulta1 em relação aos eventos conforme eles ocorrem na assinatura.

O que você deve usar?

Selecione somente uma resposta.

um indicador

uma transmissão ao vivo

um analisador

uma watchlist

A

Uma transmissão ao vivo

Explicação

Use a transmissão ao vivo de busca para testar as consultas em eventos ao vivo conforme eles ocorrem. A transmissão ao vivo fornece sessões interativas que podem notificar você quando o Microsoft Sentinel encontra eventos correspondentes à consulta.

Uma transmissão ao vivo sempre é baseada em uma consulta. Normalmente, a consulta é usada para restringir os eventos de log de streaming, de modo que somente os eventos relacionados aos seus esforços de busca por ameaças sejam exibidos. Você pode usar uma transmissão ao vivo para:

Testar novas consultas em eventos ao vivo.
Gerar notificações de ameaças.
Iniciar investigações.

46
Q

Você tem uma assinatura do Azure que contém um usuário chamado Usuário1 e um workspace do Microsoft Sentinel.

Você cria uma consulta que procura entradas com falha para o Usuário1.

Você precisa salvar as principais descobertas dos resultados. A solução deve garantir que você use os resultados em um grafo de investigação.

O que você deve criar?

Selecione somente uma resposta.

um indicador

uma transmissão ao vivo

um analisador

uma watchlist

A

um indicador

explicação

Os indicadores do Microsoft Sentinel podem ajudar você a buscar ameaças preservando as consultas executadas no Microsoft Sentinel, juntamente com os resultados da consulta que você considera relevantes. Você também pode registrar observações de contexto e consultar as descobertas alcançadas adicionando anotações e marcações. Os dados de indicadores ficam visíveis para você e seus colegas de equipe para facilitar a colaboração.

Você pode revisitar seus dados marcados a qualquer momento, na guia Indicadores da lâmina Busca. Você pode usar as opções de filtragem e pesquisa a fim de localizar rapidamente dados específicos para sua investigação atual. Como alternativa, você pode examinar os dados salvos nos indicadores diretamente na tabela HuntingBookmark no workspace do Log Analytics.

Use a transmissão ao vivo de busca para testar as consultas em eventos ao vivo conforme eles ocorrem. A transmissão ao vivo fornece sessões interativas que podem notificar você quando o Microsoft Sentinel encontra eventos correspondentes à consulta.

As listas de observação são usadas para armazenar listas de informações que podem ser referenciadas por uma consulta.

Os analisadores são projetados para normalizar campos para o mesmo esquema de dados para simplificar a criação de consulta.

47
Q

Você tem uma assinatura do Microsoft 365 que contém um usuário chamado Usuário1 e usa o Microsoft Defender para Nuvem.

Você precisa garantir que o Usuário1 possa exibir alertas e aplicar recomendações de segurança. A solução deve garantir que o Usuário1 não possa editar políticas de segurança.

Qual função você deve atribuir ao User1?

Selecione somente uma resposta.

Colaborador no nível da assinatura do Azure

Colaborador no nível do grupo de recursos

Administrador de segurança no nível da assinatura do Azure

Administrador de segurança no nível do grupo de recursos

A

colaborador no nível do grupo de recursos

Explicação

O colaborador no nível do grupo de recursos tem acesso a:

Aplicar as recomendações de segurança a um recurso.
Exibir alertas e recomendações.
O colaborador no nível de assinatura do Azure tem acesso a:

Adicionar/atribuir iniciativas, incluindo padrões de conformidade regulatória
Editar políticas de segurança.
Habilitar e desabilitar planos do Defender.
Ignorar alertas.
Aplicar as recomendações de segurança a um recurso.
Exibir alertas e recomendações.
O Administrador de Segurança no nível do grupo de recursos tem acesso a:

Editar políticas de segurança.
Habilitar e desabilitar planos do Defender.
Ignorar alertas.
Exibir alertas e recomendações.
O Administrador de Segurança no nível de assinatura do Azure tem acesso a:

Editar políticas de segurança.
Habilitar e desabilitar planos do Defender.
Ignorar alertas.
Exibir alertas e recomendações.

48
Q

Você tem uma assinatura do Azure que contém os seguintes recursos:

Uma máquina virtual chamada VM1
Uma conta de armazenamento chamada storage1
Um Serviço de Aplicativo do Azure chamado App1
Quais serviços de armazenamento podem ser protegidos usando o Microsoft Defender para Nuvem?

Selecione somente uma resposta.

Somente VM1 e App1

Somente VM1 e armazenamento1

Somente VM1

VM1, armazenamento1 e App1

A

Todos - VM1, Armazenamento 1 e App1

Explicação

O Defender para Nuvem fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados do SQL do Azure, contêineres, aplicativos web, sua rede e muito mais. Quando você habilita o Defender para Nuvem, os planos do Defender podem proteger os seguintes recursos do Azure: Servidores, que incluem máquinas virtuais, Serviços de Aplicativos do Azure, armazenamento, bancos de dados, contêineres, cofres de chaves, gerenciador de recursos e DNS. Dessa forma, o Defender para Nuvem pode proteger VM1, armazenamento1 e App1.

49
Q

Você tem uma assinatura do Azure que usa o Microsoft Defender para Nuvem e contém um workspace do Log Analytics chamado Workspace1.

Você precisa armazenar as recomendações de segurança e classificação de segurança do Defender para Nuvem no Workspace1.

O que você deve usar?

Selecione somente uma resposta.

uma política de segurança

provisionamento automático

exportação contínua

automação de fluxo de trabalho

A

exportação contínua

Explicação

O Defender para Nuvem gera alertas e recomendações de segurança detalhados. Para analisar as informações nesses alertas e recomendações, você pode exportá-los para o Azure Log Analytics, para os Hubs de Eventos ou para outra solução de Gerenciamento de Serviços de TI, SOAR ou SIEM. Você pode transmitir os alertas e recomendações conforme são gerados ou definir um agendamento para enviar instantâneos periódicos de todos os novos dados.

Usando a exportação contínua, você personaliza totalmente o que será exportado e aonde irá.

50
Q

Você tem uma assinatura do Azure que contém cinco máquinas virtuais integradas ao Defender para Nuvem.

Você precisa reduzir a quantidade de dados enviados para um workspace do Log Analytics.

O que você deve configurar?

Selecione somente uma resposta.

provisionamento automático

coleta de dados

Planos do Defender

automação de fluxo de trabalho

A

Coleta de dados

Explicação

A coleta de dados é necessária para fornecer visibilidade sobre atualizações ausentes, configurações de segurança do sistema operacional mal configuradas, status de proteção de endpoint e proteção de integridade e ameaças. A coleta de dados será necessária somente para recursos de computação, como VMs, conjuntos de dimensionamento de máquinas virtuais, contêineres de IaaS e computadores que não são do Azure.

O Microsoft Defender para Nuvem inclui uma variedade de proteções avançadas e inteligentes para suas cargas de trabalho. As proteções de carga de trabalho são fornecidas por meio de planos específicos do Microsoft Defender para os tipos de recursos em suas assinaturas.

Quando você habilita o provisionamento automático de qualquer uma das extensões compatíveis, as extensões são instaladas em computadores existentes e futuros na assinatura. Quando você desabilita o provisionamento automático para uma extensão, a extensão não é instalada em computadores futuros, mas também não é desinstalada de computadores existentes.

Esse recurso pode disparar Aplicativos Lógicos sobre alertas de segurança, recomendações e alterações na conformidade regulatória. Por exemplo, talvez você queira que o Defender para Nuvem envie um email a um usuário específico quando ocorrer um alerta.

51
Q

Você tem uma assinatura do Azure que usa o Microsoft Defender para Nuvem.

Integrar uma conta do Amazon Web Services (AWS).

Você precisa garantir que pode usar o Defender para Nuvem para avaliar os recursos na conta do AWS.

Qual folha no portal do Microsoft Defender para Nuvem você deve usar para configurar o conector do AWS?

Selecione somente uma resposta.

Configurações do ambiente

Conformidade normativa

Automação de fluxo de trabalho

Proteções de cargas de trabalho

A

configurações do ambiente

Explicação

As configurações de ambiente permitem adicionar ambientes, incluindo ambientes do AWS e Google Cloud Platform (GCP). Quando você adiciona um ambiente, um conector é criado para se conectar às outras nuvens. O conector fornecerá uma conexão sem agente à sua conta do AWS que pode ser estendida com o Defender para Nuvem. O CSPM (Gerenciamento da Postura de Segurança na Nuvem) avalia os recursos do AWS de acordo com as recomendações de segurança específicas do AWS e reflete sua postura de segurança na classificação de segurança. O inventário de ativos fornece um lugar para ver todos os seus recursos do AWS protegidos.

O painel de conformidade regulatória mostra sua conformidade com padrões internos específicos do AWS, incluindo o AWS CIS, o AWS PCI DSS e as práticas recomendadas de segurança fundamental do AWS. O painel de conformidade regulatória mostra o status de todas as avaliações no seu ambiente para os seus padrões e regulamentos escolhidos. O status dessas avaliações reflete sua conformidade com o padrão.

A automação de fluxo de trabalho é onde você configura os Aplicativos Lógicos para automação. Ele não se integra a outros serviços de nuvem para extrair informações de postura de segurança.

As proteções de carga de trabalho permitem que você configure a proteção para vários tipos de carga de trabalho. Ele não incluirá informações no Secure Score para todo o ambiente do AWS ou da GCP.

52
Q

Você tem os seguintes ambientes de nuvem:

Uma assinatura do Azure que usa o Microsoft Defender para Nuvem
Um locatário do Microsoft 365.
Uma conta AWS (Amazon Web Services)
Integração de um projeto da Google Cloud Platform (GCP)
Você precisa garantir que pode usar o Defender para Nuvem para executar o Gerenciamento de Postura de Segurança de Nuvem (CSPM) para os ambientes.

Quais ambientes exigirão que um conector seja implantado?

Selecione somente uma resposta.

Somente AWS e GCP

AWS, GCP e Microsoft 365

Somente AWS

Somente GCP

Somente Microsoft 365 e GCP

Somente Microsoft 365

A

Somente AWS e GCP

Explicação

O Defender para Nuvem pode proteger cargas de trabalho híbridas, incluindo local, AWS e GCP, mas um conector deve ser implantado para uma conta AWS ou um projeto GCP.

53
Q

Você tem uma máquina virtual do Azure chamada VM1 que executa o Windows Server e é protegida usando o Microsoft Defender para Nuvem.

O Defender para Nuvem gera vários alertas para a VM1. Examine os alertas e estabeleça que os alertas são falsos positivos.

Você precisa impedir que novos alertas VM1 sejam mostrados no Defender para Nuvem por sete dias.

O que você deve fazer?

Selecione somente uma resposta.

Criar regra de supressão.

Modifique a regra de processamento de alerta.

Modifique a regra de alerta.

Modifique as configurações de diagnóstico para VM1.

A

Criar Regra de supressão

Explicação

Quando um único alerta não é interessante ou relevante, você pode descartá-lo manualmente. Como alternativa, use o recurso de regras de supressão para ignorar automaticamente alertas semelhantes no futuro. Normalmente, você usa uma regra de supressão para suprimir alertas identificados como falsos positivos ou alertas que estão sendo disparados com muita frequência para serem úteis.

Regras de alerta e regras de supressão são usadas pelo Azure Monitor, não pelo Defender para Nuvem.

As configurações de diagnóstico controlam para onde os logs de recursos são enviados (conta de armazenamento, workspace do Log Analytics ou hub de eventos).

54
Q

Você tem uma assinatura do Azure que contém um usuário chamado User1 e usa o Microsoft Defender para Nuvem.

Você precisa configurar permissões para o User1. A solução deve atender aos seguintes requisitos:

Verifique se o User1 pode habilitar e desabilitar os planos do Microsoft Defender.
Verifique se o User1 pode editar políticas de segurança.
Verifique se o User1 não pode aplicar ou isentar recomendações de segurança.
Siga o princípio dos privilégios mínimos.
Qual função você deve atribuir ao User1?

Selecione somente uma resposta.

Colaborador

Proprietário

Administrador de Segurança

Leitor de segurança

A

administrador de segurança

Explicação

Incorreto: Colaborador – essa função permite que você aplique ou isente recomendações de segurança.

Incorreto: Proprietário – essa função permite que você aplique ou isente recomendações de segurança.

Corrigir: Administrador de segurança – isso atende aos requisitos.

Incorreto: Leitor de segurança – essa função só pode exibir alertas e recomendações.

55
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Defender para Aplicativos de Nuvem.

Você precisará ser notificado se um usuário entrar de um endereço IP arriscado. A solução deve garantir que o usuário também seja notificado.

Que tipo de política você deve criar?

Selecione somente uma resposta.

uma política de detecção de anomalias do Cloud Discovery

uma política de sessão

uma política de acesso

uma política de atividade

A

Uma política de Atividade

Explicação

As políticas de atividade permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de aplicativos. Essas políticas permitem monitorar atividades específicas realizadas por vários usuários ou seguir taxas inesperadamente altas de um determinado tipo de atividade. Depois de definir uma política de detecção de atividade, ela começará a gerar alertas. Os alertas só são gerados para atividades que ocorrem depois que você cria a política.

As políticas de acesso permitem o monitoramento e o controle em tempo real sobre o acesso a aplicativos de nuvem com base no usuário, local, dispositivo e aplicativo. Você pode criar políticas de acesso para qualquer dispositivo, incluindo dispositivos que não são ingressados no Azure AD híbrido e não gerenciados pelo Microsoft Intune, distribuindo certificados de cliente para dispositivos gerenciados ou usando certificados existentes, como certificados MDM de terceiros.

Uma política de detecção de anomalias do Cloud Discovery permite que você configure e configure o monitoramento contínuo de aumentos incomuns no uso do aplicativo de nuvem. Aumentos de dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo de nuvem. Cada aumento é comparado ao padrão de uso normal do aplicativo, conforme aprendido com o uso anterior. Os aumentos mais extremos disparam alertas de segurança.

As políticas de sessão permitem monitoramento em tempo real em nível de sessão, proporcionando visibilidade granular em aplicativos de nuvem e a capacidade de executar ações diferentes dependendo da política definida para uma sessão de usuário. Em vez de permitir ou bloquear completamente o acesso, com controle de sessão, você pode permitir o acesso durante o monitoramento da sessão e/ou limitar atividades de sessão específicas usando as funcionalidades de proxy reverso do Controle de Aplicativos de Acesso Condicional.

56
Q

Você tem uma assinatura do Microsoft 365 E5 que inclui um usuário chamado Usuário1.

Você precisa garantir que todos os emails enviados ao Usuário1, incluindo emails mal-intencionados, sejam excluídos da filtragem pelo Microsoft Defender para Office 365.

O que você deve configurar?

Selecione somente uma resposta.

uma política de quarentena

uma caixa de correio SecOps

Listas de permissões/bloqueios de locatário

Filtragem aprimorada

A

uma caixa de correio SecOps

Explicação

Uma caixa de correio SecOps é uma caixa de correio dedicada que é usada pelas equipes de segurança para coletar e analisar mensagens não filtradas (boas e ruins). Os filtros no EOP e no Defender para Office 365 não realizam nenhuma ação em mensagens de email enviadas para uma caixa de correio secOps.

As políticas de quarentena permitem que um administrador controle o que os usuários podem fazer com mensagens em quarentena com base no motivo pelo qual a mensagem foi colocada em quarentena.

A Filtragem Aprimorada permite que as informações de endereço IP e remetente sejam preservadas.

A Lista de Permissões/Blocos do Locatário no portal do Microsoft 365 Defender oferece uma maneira de substituir manualmente os vereditos de filtragem do Microsoft 365. A Lista de Permissões/Blocos do Locatário é usada durante o fluxo de email para mensagens de entrada (isso não se aplica a mensagens dentro do organização) e no momento dos cliques do usuário.

57
Q

Você tem um locatário híbrido do Azure AD e uma assinatura do Microsoft 365 E5.

Você precisa examinar todas as alterações feitas no grupo administradores corporativos do Active Directory durante os últimos 14 dias.

O que você deve usar?

Selecione somente uma resposta.

a pasta de trabalho Análise de Provisionamento do Azure AD

a Pasta de trabalho do Relatório de Operações confidenciais no Azure AD

a página de usuários do Cloud Discovery para Microsoft Defender for Cloud Apps

o relatório Modificações do Microsoft Defender para Identidade para grupos confidenciais

A

o relatório Modificações do Microsoft Defender para Identidade para grupos confidenciais

Explicação

As modificações do Defender para Identidade em grupos confidenciais relatam listas sempre que uma modificação é feita em grupos confidenciais, como administrador ou contas ou grupos marcados manualmente.

A pasta de trabalho Análise de Provisionamento do Microsoft Entra ID fornece informações sobre atividades executadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

A Postura de Segurança de Identidade do Defender para Aplicativos de Nuvem oferece avaliações proativas de postura de segurança de identidade para detectar e recomendar ações em configurações locais do Active Directory.

O painel do Cloud Discovery do Defender para Aplicativos de Nuvem foi projetado para fornecer mais informações sobre como os aplicativos de nuvem estão sendo usados em sua organização. Ele fornece uma visão geral de quais tipos de aplicativos estão sendo usados, seus alertas abertos e os níveis de risco de aplicativos em sua organização.

A pasta de trabalho Relatório de Operações Confidenciais do Microsoft Entra ID se destina a ajudar a identificar atividades de entidade de serviço e aplicativos suspeitos que podem indicar comprometimentos no seu ambiente.

58
Q

Você tem uma assinatura do Microsoft 365 E5.

Você cria uma política de Acesso Condicional chamada CAPolicy1.

Você precisa garantir que todos os usuários do departamento financeiro sejam solicitados a obter autenticação multifator (MFA).

Quais configurações você deve definir?

Selecione somente uma resposta.

Conceder em Controles de acesso

Sessão nos Controles de acesso

Nível de Risco de entrada em Condições

Nível de Risco do usuário em Condições

A

Conceder em Controles de acesso

Explicação

Nas configurações de Concessão, você pode definir se o Acesso Condicional permite ou bloqueia o acesso. Você também pode configurar requisitos adicionais, como exigir autenticação multifator.

Nas configurações de sessão, você pode controlar o acesso com base nos controles de sessão para habilitar uma experiência limitada em um aplicativo de nuvem específico. Você também pode definir a frequência de entrada nessas configurações.

Nas configurações de risco do usuário de Condições, você pode definir o nível de risco do usuário (Baixo, Médio ou Alto) para definir se uma política de Acesso Condicional deve ser avaliada.

Nas configurações de risco de entrada de Condições, você pode definir o nível de risco de entrada (Baixo, Médio ou Alto) que deve ser atendido para que a política de Acesso Condicional seja avaliada.

59
Q

Você tem um domínio local do Serviços de Domínio do Active Directory (AD DS) que contém um controlador de domínio chamado DC1.

Você tem uma assinatura do Microsoft 365 E5.

Você precisa instalar os sensores do Microsoft Defender para Identidade no DC1. A solução deve garantir que o sensor possa coletar todas as informações relevantes do DC1.

O que você deve configurar no DC1?

Selecione somente uma resposta.

uma política de auditoria avançada

Windows Defender Firewall

Encaminhamento de Eventos do Windows

espelhamento de porta

A

uma política de auditoria avançada

Explicação

A detecção do Defender para Identidade depende de entradas específicas do log de eventos do Windows para aprimorar algumas detecções e fornecer informações adicionais sobre quais usuários executaram ações específicas, como logons NTLM, modificações de grupo de segurança e eventos semelhantes. Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio exigem configurações precisas de Política de Auditoria Avançada.

Você precisará configurar o espelhamento de porta se o sensor do Defender para Identidade não estiver instalado em um controlador de domínio. Se o sensor estiver em um controlador de domínio, o espelhamento de porta não será necessário.

O Encaminhamento de Eventos do Windows coleta eventos de diferentes computadores Windows. Você precisará configurar o Encaminhamento de Eventos do Windows se o sensor não estiver instalado em um controlador de domínio. Se o sensor estiver em um controlador de domínio, o Encaminhamento de Eventos do Windows não será necessário.

O Windows Defender Firewall protege o computador Windows contra ameaças de rede e não está relacionado e não é usado pelo Defender para Identidade.

60
Q

Você tem uma assinatura do Microsoft 365 E5.

Você precisa monitorar um domínio dos Serviços de Domínio do Active Directory (AD DS) e identificar e investigar as ameaças detectadas.

O que você deve usar?

Selecione somente uma resposta.

Azure AD Identity Protection

Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Identidade

Microsoft Defender para Office 365

A

Microsoft Defender para Identidade

Explicação

O Defender para Identidade é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização.

O Azure AD Identity Protection usa os aprendizados que a Microsoft adquiriu com sua posição em organizações com o Azure AD, com o espaço do consumidor com as contas Microsoft e com os jogos do Xbox para proteger seus usuários. A Microsoft analisa trilhões de sinais por dia para identificar e proteger os clientes contra ameaças.

O Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas.

O Defender para Office 365 é um serviço de filtragem de email baseado em nuvem que protege sua empresa contra ameaças a ferramentas de colaboração e email.

61
Q

Sua empresa usa o Microsoft Defender para Nuvem.

Você precisa examinar as políticas de segurança configuradas no Defender para Nuvem.

O que você deve usar?

Selecione somente uma resposta.

o portal do Azure

Portal do Microsoft Defender for Cloud Apps

o centro de administração do Microsoft 365

o portal do Microsoft 365 Defender

A

O portal do Azure

Explicação

O Defender para Nuvem faz parte de uma assinatura do Azure.

O “plano gratuito do Defender para Nuvem está habilitado para todas as assinaturas do Azure quando você visita as páginas do Defender para Nuvem no portal do Azure pela primeira vez. Você também pode gerenciar o Defender para Nuvem usando o portal do Azure.

62
Q

Você cria uma conta de Armazenamento do Azure denominada armazenamento1, que contém os seguintes dados:

Um contêiner de blob chamado contêiner1
Um compartilhamento de arquivos chamado compartilhamento1
Uma fila chamada fila1
Uma tabela chamada tabela1
Você habilita o Microsoft Defender para Nuvem para armazenamento1.

Quais recursos serão protegidos?

Selecione somente uma resposta.

Somente container1 e share1

Somente container1

somente container1, armazenamento1 e tabela1

Contêiner, compartilhamento1, fila1 e tabela1

Somente share1

A

somente o container e o Compartilhamento 1

Explicação

O Defender para Armazenamento no Microsoft Defender para Nuvem é uma camada de inteligência de segurança nativa do Azure que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. O Defender para Armazenamento analisa continuamente o fluxo de telemetria gerado pelos serviços Armazenamento de Blobs do Azure e Arquivos do Azure. Dessa forma, somente os dados no contêiner1 e no compartilhamento1 são protegidos usando o Defender para Nuvem.

63
Q

Você tem uma assinatura do Azure que usa o Microsoft Defender para Nuvem. A assinatura contém uma máquina virtual chamada VM1. A VM1 hospeda um contêiner do Docker que hospeda um aplicativo chamado App1.

Você precisa garantir que a configuração do host do Docker atenda às práticas recomendadas. A solução deve garantir que você seja alertado se forem detectadas vulnerabilidades.

O que você deve usar?

Selecione somente uma resposta.

Microsoft Defender para Serviço de Aplicativo

Microsoft Defender for Cloud Apps

Microsoft Defender para Contêineres

Microsoft Defender para Servidores

A

Microsoft Defender para Servidores

64
Q

Você tem uma assinatura do Microsoft 365 E5 que usa o Microsoft Exchange Online.

Você precisará ser notificado se um usuário baixou um grande número de documentos do SharePoint Online durante o mês antes de a conta do usuário ser excluída.

O que você deve usar?

Selecione somente uma resposta.

uma política de arquivo do Microsoft Defender for Cloud Apps

uma política de alerta do Microsoft Defender para Office 365

uma política de gerenciamento de riscos internos do Microsoft Purview

uma revisão de acesso ao Microsoft Entra Governance

A

Uma política de gerenciamento de riscos internos doMicrosoft Purview

Explicação

Uma política de gestão de riscos internos do Microsoft Purview baseada no modelo Roubo de dados por utilizadores que partem utiliza indicadores de exfiltração para pontuação de risco e centra-se na deteção e alertas nesta área de risco. O roubo de dados para usuários que partem pode incluir o download de arquivos do SharePoint Online, a impressão de arquivos e a cópia de dados para serviços pessoais de armazenamento e mensagens na nuvem perto da data da demissão e das datas de término do trabalho do usuário.

As políticas de arquivo do Defender para Aplicativos de Nuvem permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de nuvem. As políticas de arquivo podem ser configuradas para fornecer verificações de conformidade contínuas, tarefas de Descoberta Eletrônica legais, prevenção de perda de dados (DLP) para conteúdo confidencial compartilhado publicamente e muito mais casos de uso. O Defender para Aplicativos de Nuvem pode monitorar qualquer tipo de arquivo com base em mais de 20 filtros de metadados, como o nível de acesso e o tipo de arquivo.

As revisões de acesso da Governança de Identidade permitem que as organizações gerenciem com eficiência associações a grupos, acesso a aplicativos corporativos e atribuições de funções. O acesso do usuário pode ser revisado regularmente para garantir que somente os usuários corretos tenham acesso contínuo.

As políticas de alerta do Defender para Office 365 permitem categorizar os alertas que são disparados por uma política, aplicar a política a todos os usuários da sua organização, definir um nível limite para quando um alerta for disparado e decidir se receber notificações por email quando os alertas forem disparados.

SC-200 Microsoft Certification (3 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions