# Azure
> **Um guia abrangente sobre o Microsoft Azure** – desde os fundamentos da nuvem e o modelo de responsabilidade compartilhada até serviços de segurança, detecção de ameaças e procedimentos de investigação forense em ambientes cloud.
***
## 📌 Índice
1. [Introdução ao Microsoft Azure](#-introdução-ao-microsoft-azure)
* 1.1 [O que é Azure?](#11-o-que-é-azure)
* 1.2 [O Modelo de Responsabilidade Compartilhada](#12-o-modelo-de-responsabilidade-compartilhada)
* 1.3 [Infraestrutura Global: Regiões, Zonas de Disponibilidade e Pares](#13-infraestrutura-global-regiões-zonas-de-disponibilidade-e-pares)
2. [Arquitetura Azure: End-to-End Security](#-arquitetura-azure-end-to-end-security)
* 2.1 [Os Três Pilares da Segurança Azure](#21-os-três-pilares-da-segurança-azure)
* 2.2 [Microsoft Cloud Security Benchmark (MCSB)](#22-microsoft-cloud-security-benchmark-mcsb)
* 2.3 [Azure Well-Architected Framework – Segurança](#23-azure-well-architected-framework--segurança)
3. [Gerenciamento de Identidade e Acesso](#-gerenciamento-de-identidade-e-acesso)
* 3.1 [Microsoft Entra ID (Azure AD)](#31-microsoft-entra-id-azure-ad)
* 3.2 [Privileged Identity Management (PIM)](#32-privileged-identity-management-pim)
* 3.3 [Conditional Access e Autenticação Multifator](#33-conditional-access-e-autenticação-multifator)
* 3.4 [Azure RBAC e Access Reviews](#34-azure-rbac-e-access-reviews)
4. [Serviços de Proteção e Defesa em Profundidade](#-serviços-de-proteção-e-defesa-em-profundidade)
* 4.1 [Proteção de Identidade e Infraestrutura](#41-proteção-de-identidade-e-infraestrutura)
* 4.2 [Segurança de Rede](#42-segurança-de-rede)
* 4.3 [Proteção de Dados e Criptografia](#43-proteção-de-dados-e-criptografia)
* 4.4 [Governança e Conformidade](#44-governança-e-conformidade)
5. [Serviços de Detecção de Ameaças](#-serviços-de-detecção-de-ameaças)
* 5.1 [Microsoft Defender for Cloud](#51-microsoft-defender-for-cloud)
* 5.2 [Microsoft Sentinel – SIEM/SOAR](#52-microsoft-sentinel--siemsoar)
* 5.3 [Microsoft Defender XDR](#53-microsoft-defender-xdr)
* 5.4 [Microsoft Defender for Cloud Apps (CASB)](#54-microsoft-defender-for-cloud-apps-casb)
* 5.5 [Azure Network Watcher](#55-azure-network-watcher)
6. [Artefatos Forenses no Azure](#-artefatos-forenses-no-azure)
* 6.1 [Azure Activity Log – Registro de Todas as Ações](#61-azure-activity-log--registro-de-todas-as-ações)
* 6.2 [Diagnostic Settings e Logs de Serviços](#62-diagnostic-settings-e-logs-de-serviços)
* 6.3 [Azure Policy e Azure Resource Graph](#63-azure-policy-e-azure-resource-graph)
* 6.4 [Microsoft Sentinel Hunting e Investigation](#64-microsoft-sentinel-hunting-e-investigation)
* 6.5 [Network Watcher NSG Flow Logs](#65-network-watcher-nsg-flow-logs)
* 6.6 [Key Vault Audit Logs](#66-key-vault-audit-logs)
7. [Investigação Forense e Cadeia de Custódia](#-investigação-forense-e-cadeia-de-custódia)
* 7.1 [Desafios da Forense em Nuvem](#71-desafios-da-forense-em-nuvem)
* 7.2 [Aquisição Forense de Máquinas Virtuais](#72-aquisição-forense-de-máquinas-virtuais)
* 7.3 [Cadeia de Custódia com Azure Architecture](#73-cadeia-de-custódia-com-azure-architecture)
* 7.4 [Workflow de Resposta a Incidentes](#74-workflow-de-resposta-a-incidentes)
* 7.5 [Exemplo Prático: Investigação de VM com Microsoft Sentinel](#75-exemplo-prático-investigação-de-vm-com-microsoft-sentinel)
8. [Melhores Práticas de Segurança Operacional](#-melhores-práticas-de-segurança-operacional)
* 8.1 [Governança e Estrutura de Assinaturas](#81-governança-e-estrutura-de-assinaturas)
* 8.2 [Gestão de Identidades e Acesso](#82-gestão-de-identidades-e-acesso)
* 8.3 [Monitoramento e Resposta a Incidentes](#83-monitoramento-e-resposta-a-incidentes)
* 8.4 [Proteção de Dados e Criptografia](#84-proteção-de-dados-e-criptografia)
9. [Referências e Ferramentas](#-referências-e-ferramentas)
***
## 🔍 Introdução ao Microsoft Azure
### 1.1 O que é Azure?
O **Microsoft Azure** é a plataforma de computação em nuvem da Microsoft, oferecendo mais de 200 produtos e serviços em todo o mundo, desde infraestrutura como serviço (IaaS) até plataforma como serviço (PaaS) e software como serviço (SaaS) . Lançado em 2010, o Azure permite que organizações construam, executem e gerenciem aplicações em uma rede global de data centers.
**Benefícios Fundamentais** :
* **Agilidade**: Recursos provisionados em minutos com automação e modelos predefinidos
* **Elasticidade**: Escala automática conforme a demanda, pagando apenas pelo uso
* **Híbrido**: Consistência entre nuvem e ambientes locais com Azure Arc
* **Segurança Integrada**: Proteção em camadas com serviços nativos de segurança
### 1.2 O Modelo de Responsabilidade Compartilhada
A segurança no Azure é uma parceria entre a Microsoft e o cliente, definida pelo **modelo de responsabilidade compartilhada** :
| **Responsabilidade** | **Microsoft (Segurança *****da***** Nuvem)** | **Cliente (Segurança *****na***** Nuvem)** |
| ------------------------- | ------------------------------------------------------ | ---------------------------------------------------- |
| **Infraestrutura Física** | Data centers, hardware, rede global | - |
| **Virtualização** | Hyper-V, isolamento entre tenants | - |
| **Sistema Operacional** | - | Patches, hardening, configuração segura |
| **Aplicações** | Serviços gerenciados (PaaS/SaaS) | Aplicações próprias e configurações |
| **Dados** | - | Criptografia, backups, classificação |
| **Identidades** | Plataforma Microsoft Entra ID | Usuários, grupos, permissões, MFA |
> 💡 **Regra de Ouro**: A Microsoft protege a infraestrutura que executa os serviços; o cliente protege o que executa *dentro* dessa infraestrutura .
### 1.3 Infraestrutura Global: Regiões, Zonas de Disponibilidade e Pares
```mermaid
graph TB
subgraph "Geografia (ex: Brasil)"
R1[Região: Brazil South
São Paulo]
R2[Região: Brazil Southeast
Rio de Janeiro]
end
subgraph "Região Brazil South"
AZ1[Zona de Disponibilidade 1]
AZ2[Zona de Disponibilidade 2]
AZ3[Zona de Disponibilidade 3]
end
subgraph "Edge Network"
E1[Pontos de Presença CDN]
E2[Front Door Edge Locations]
end
R1 ---|Par Region| R2
AZ1 --- AZ2
AZ2 --- AZ3
R1 & R2 --> E1 & E2
```
| **Componente** | **Descrição** | **Exemplo** |
| -------------------------------- | ------------------------------------------------------------------------------------------- | ------------------------------------------------- |
| **Região** | Conjunto de data centers geograficamente distintos | `brazilsouth` (São Paulo), `eastus` (Virgínia) |
| **Zona de Disponibilidade (AZ)** | Data centers fisicamente separados dentro de uma região com conectividade de baixa latência | `brazilsouth-1`, `brazilsouth-2`, `brazilsouth-3` |
| **Par de Regiões** | Pares de regiões dentro da mesma geografia para replicação e recuperação de desastres | Brazil South ↔ Brazil Southeast |
***
## 🏗️ Arquitetura Azure: End-to-End Security
### 2.1 Os Três Pilares da Segurança Azure
A arquitetura de segurança do Azure é organizada em três categorias fundamentais que trabalham em conjunto para proteger cargas de trabalho :
```mermaid
graph LR
subgraph "1. Proteger"
P1[Identidade]
P2[Infraestrutura]
P3[Rede]
P4[Dados]
end
subgraph "2. Detectar"
D1[Microsoft Defender for Cloud]
D2[Microsoft Sentinel]
D3[Azure Network Watcher]
end
subgraph "3. Investigar e Responder"
R1[Microsoft Sentinel]
R2[Azure Monitor]
R3[Defender for Cloud Apps]
end
P1 & P2 & P3 & P4 --> D1 & D2 & D3
D1 & D2 & D3 --> R1 & R2 & R3
```
| **Categoria** | **Objetivo** | **Serviços Principais** |
| -------------------------- | --------------------------------------------- | ---------------------------------------------------------------- |
| **Proteger** | Implementar defesa em profundidade | Microsoft Entra ID, Azure Firewall, Key Vault, Azure Policy |
| **Detectar** | Identificar atividades suspeitas e incidentes | Defender for Cloud, Sentinel, Network Watcher |
| **Investigar e Responder** | Analisar eventos e tomar ações corretivas | Sentinel (UEBA, Hunting), Azure Monitor, Defender for Cloud Apps |
### 2.2 Microsoft Cloud Security Benchmark (MCSB)
O **Microsoft Cloud Security Benchmark (MCSB)** é o guia abrangente de melhores práticas de segurança para o Azure . Ele fornece:
* **Controles de Segurança**: Recomendações de alto nível aplicáveis a todo o ambiente
* **Baselines de Serviço**: Configurações específicas para cada serviço Azure
* **Mapeamento para Frameworks**: CIS, NIST, PCI-DSS, ISO 27001
**MCSB v2 (Preview)** – versão mais recente com melhorias significativas :
* **Novo domínio de IA**: 7 recomendações para segurança de plataformas de IA
* **Expansão de cobertura**: De 220+ para 420+ medidas de controle baseadas em Azure Policy
* **Guia de implementação**: Exemplos técnicos detalhados com base em risco
```powershell
# Monitorar conformidade com MCSB
# No portal: Microsoft Defender for Cloud > Regulatory Compliance
# Selecione "Microsoft Cloud Security Benchmark"
```
### 2.3 Azure Well-Architected Framework – Segurança
O **Azure Well-Architected Framework** inclui um pilar de segurança dedicado com cinco princípios fundamentais :
| **Princípio** | **Descrição** | **Implementação** |
| -------------------------- | ---------------------------------- | ------------------------------------------------------- |
| **Defesa em Profundidade** | Múltiplas camadas de controle | NSG, Azure Firewall, WAF, Application Gateway |
| **Menor Privilégio** | Acesso mínimo necessário | RBAC, PIM, Just-in-Time (JIT) access |
| **Segurança por Design** | Segurança integrada desde o início | Azure Policy, Infrastructure as Code, pipelines seguros |
| **Automação** | Respostas consistentes e rápidas | Azure Automation, Logic Apps, Sentinel playbooks |
| **Observabilidade** | Monitoramento contínuo e detecção | Azure Monitor, Log Analytics, Defender for Cloud |
***
## 🔐 Gerenciamento de Identidade e Acesso
### 3.1 Microsoft Entra ID (Azure AD)
O **Microsoft Entra ID** (anteriormente Azure Active Directory) é o serviço de identidade e acesso baseado em nuvem que fornece autenticação, autorização e gerenciamento de identidades .
**Funcionalidades principais** :
* **Single Sign-On (SSO)**: Acesso unificado a milhares de aplicações SaaS e personalizadas
* **Autenticação Multifator (MFA)**: Proteção adicional contra credenciais comprometidas
* **Conditional Access**: Políticas baseadas em risco, localização, dispositivo e aplicação
* **Identity Protection**: Detecção de riscos com machine learning (logins anômalos, vazamentos de credenciais)
### 3.2 Privileged Identity Management (PIM)
O **Privileged Identity Management (PIM)** é um serviço do Entra ID que gerencia, controla e monitora o acesso privilegiado .
**Funcionalidades** :
* **Just-in-Time (JIT) Access**: Ativação de privilégios apenas quando necessário, por tempo limitado
* **Workflows de Aprovação**: Requer aprovação para ativação de funções sensíveis
* **Access Reviews**: Revisões periódicas de acesso para garantir que privilégios sejam revogados quando não mais necessários
* **Audit History**: Registro completo de todas as ativações e atividades
```powershell
# Ativar uma função no PIM (exemplo via Azure CLI)
az rest --method POST --url "https://api.azure.com/privilegedidentitymanagement/v2/azureResources/roleAssignments/{roleAssignmentId}/activate" --body "{'duration': 'PT8H', 'justification': 'Incident response'}"
```
### 3.3 Conditional Access e Autenticação Multifator
O **Conditional Access** é o mecanismo que aplica controles de acesso baseados em condições .
| **Componente** | **Descrição** | **Exemplo** |
| ----------------------- | --------------------------------------------------------------- | ---------------------------------------------------------- |
| **Atribuições** | Quem (usuários/grupos), o quê (aplicações) e onde (localização) | Todos os administradores, aplicações críticas |
| **Controles de Acesso** | O que acontece quando as condições são atendidas | Exigir MFA, exigir dispositivo compatível, bloquear acesso |
| **Políticas de Sessão** | Controles dentro da sessão autenticada | Frequência de autenticação, persistência de sessão |
**Melhores práticas de MFA** :
* **Opção 1 (recomendada para simplicidade)**: Security Defaults – habilita MFA para todos os usuários
* **Opção 2 (recomendada para flexibilidade)**: Conditional Access – aplica MFA baseado em risco e contexto
* **Opção 3 (legado)**: User State – habilita MFA por usuário (menos flexível)
> ⚠️ **Importante**: As opções 2 e 3 não podem ser usadas simultaneamente .
### 3.4 Azure RBAC e Access Reviews
**Azure Role-Based Access Control (RBAC)** fornece gerenciamento de acesso granular :
| **Escopo** | **Nível** | **Exemplo** |
| ------------------- | ----------------------------------- | -------------------------------------- |
| Management Group | Várias assinaturas | Aplicar políticas a toda a organização |
| Subscription | Todos os recursos de uma assinatura | Acesso de leitura para auditoria |
| Resource Group | Recursos agrupados | Permissão de contribuidor para VMs |
| Individual Resource | Recurso específico | Acesso a um Key Vault específico |
**Roles predefinidas comuns**:
* **Owner**: Acesso total, incluindo atribuição de permissões
* **Contributor**: Pode criar e gerenciar recursos, não pode atribuir permissões
* **Reader**: Apenas visualização
***
## 🛡️ Serviços de Proteção e Defesa em Profundidade
### 4.1 Proteção de Identidade e Infraestrutura
| **Serviço** | **Descrição** | **Caso de Uso** |
| --------------------------------- | ------------------------------------------------------ | ----------------------------------------------------------------------------------------- |
| **Microsoft Entra ID Protection** | Detecção de riscos baseada em machine learning | Identificar contas comprometidas por logins anômalos ou vazamentos de credenciais |
| **Azure DDoS Protection** | Mitigação contínua de ataques de negação de serviço | Proteger aplicações expostas à internet contra ataques volumétricos |
| **Azure Firewall** | Firewall de rede como serviço com alta disponibilidade | Inspeção de tráfego L3-L7, filtragem de saída (egress) |
| **Azure Policy** | Imposição de padrões e avaliação de conformidade | Garantir que todos os recursos sigam políticas de segurança (ex: criptografia habilitada) |
### 4.2 Segurança de Rede
| **Serviço** | **Descrição** | **Exemplo de Configuração** |
| --------------------------------- | ------------------------------------------- | ------------------------------------------------------------------------- |
| **Network Security Groups (NSG)** | Filtragem de pacotes em camada 4 (stateful) | `Allow-SSH` da rede corporativa, `Deny-All` para internet |
| **Azure Application Gateway** | Load balancer L7 com WAF integrado | Proteger aplicações web com regras OWASP Core |
| **Azure Front Door** | Load balancer global com aceleração e WAF | Distribuição global de tráfego com proteção na borda |
| **Azure Private Link** | Conexão privada a serviços PaaS | Acessar Azure SQL ou Storage via IP privado, eliminando exposição pública |
| **Azure VPN Gateway** | Conexões criptografadas cross-premises | Site-to-site VPN entre Azure e data center local |
### 4.3 Proteção de Dados e Criptografia
| **Serviço** | **Descrição** | **Nível de Proteção** |
| ------------------------------------ | ------------------------------------------------------- | ---------------------------------------------------------------- |
| **Azure Key Vault** | Armazenamento seguro de chaves, segredos e certificados | FIPS 140-2 Level 1 (Standard) / FIPS 140-3 Level 3 (Premium HSM) |
| **Key Vault Managed HSM** | HSM single-tenant, totalmente gerenciado | FIPS 140-3 Level 3, controle total do cliente |
| **Azure Disk Encryption** | Criptografia de discos OS e dados | BitLocker para Windows, DM-Crypt para Linux |
| **Azure Storage Service Encryption** | Criptografia automática em repouso | AES-256 para Blobs, Files, Queues, Tables |
| **Azure SQL TDE** | Transparent Data Encryption | Criptografia em tempo real de bancos de dados, backups e logs |
| **Azure Confidential Computing** | Proteção de dados em uso | TEE com AMD SEV-SNP, Intel TDX e NVIDIA H100 |
### 4.4 Governança e Conformidade
| **Serviço** | **Descrição** | **Aplicação** |
| -------------------------------- | ------------------------------------------------ | --------------------------------------------------------------------- |
| **Azure Policy** | Criação, atribuição e gerenciamento de políticas | `allowedLocations`, `allowedSku`, `auditIfNotExists` |
| **Azure Blueprints** | Pacotes reutilizáveis de recursos e políticas | Ambiente de desenvolvimento padronizado com segurança pré-configurada |
| **Management Groups** | Organização hierárquica de assinaturas | Aplicar políticas e permissões a nível de organização |
| **Microsoft Defender for Cloud** | Postura de segurança e conformidade | Avaliação contínua contra CIS, NIST, PCI-DSS, MCSB |
***
## 🕵️ Serviços de Detecção de Ameaças
### 5.1 Microsoft Defender for Cloud
O **Microsoft Defender for Cloud** é o serviço unificado de gerenciamento de segurança e proteção contra ameaças .
**Funcionalidades** :
* **Cloud Security Posture Management (CSPM)**: Avaliação contínua de configurações, recomendações de segurança
* **Workload Protection (CWP)**: Proteção para VMs, bancos de dados, containers, Storage, App Service
* **Regulatory Compliance**: Dashboard de conformidade com benchmarks (CIS, NIST, PCI-DSS, MCSB)
* **Threat Detection**: Detecção de comportamentos anômalos e tentativas de exploração
**Exemplo de descoberta**: Credentials exposed in GitHub, Malicious IP communication, Unusual process execution
### 5.2 Microsoft Sentinel – SIEM/SOAR
O **Microsoft Sentinel** é a solução de SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation, and Response) nativa da nuvem .
**Funcionalidades principais** :
* **Coleta de Dados**: Conectores nativos para serviços Azure, Microsoft 365, AWS, GCP, e fontes customizadas
* **Analytics Rules**: Regras de detecção baseadas em KQL (Kusto Query Language)
* **Incident Management**: Correlação de alertas em incidentes com investigação visual
* **Threat Hunting**: Busca proativa por ameaças usando KQL e notebooks
* **Automation**: Playbooks baseados em Azure Logic Apps para respostas automatizadas
**Exemplo de regra analítica (KQL)** :
```kusto
AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
```
### 5.3 Microsoft Defender XDR
O **Microsoft Defender XDR** é uma solução unificada de proteção que opera em múltiplos domínios :
| **Componente** | **Domínio** | **Função** |
| --------------------------- | -------------------- | --------------------------------------------------------------------------------- |
| **Defender for Endpoint** | Endpoints | Detecção de malware, EDR, investigação de dispositivos |
| **Defender for Identity** | Identidades | Detecção de ataques a Active Directory (Pass-the-Hash, Golden Ticket) |
| **Defender for Office 365** | E-mail e colaboração | Proteção contra phishing, malware em anexos, comprometimento de caixas de correio |
| **Defender for Cloud Apps** | SaaS | CASB, shadow IT discovery, controle de sessão |
### 5.4 Microsoft Defender for Cloud Apps (CASB)
O **Microsoft Defender for Cloud Apps** é um Cloud Access Security Broker (CASB) que opera em múltiplos clouds .
**Funcionalidades**:
* **Shadow IT Discovery**: Detecção de aplicações SaaS não autorizadas
* **Data Loss Prevention (DLP)**: Controle de transferência de dados sensíveis
* **Session Control**: Monitoramento e bloqueio de ações em tempo real (ex: upload de arquivo)
* **App Permissions**: Revisão de permissões concedidas a aplicações OAuth
### 5.5 Azure Network Watcher
O **Azure Network Watcher** fornece ferramentas para monitoramento, diagnóstico e análise de rede .
**Funcionalidades críticas para forense** :
* **NSG Flow Logs**: Registro de tráfego de rede (origem, destino, portas, protocolo, ação)
* **Packet Capture**: Captura de pacotes sob demanda para análise aprofundada
* **Connection Monitor**: Monitoramento de conectividade ponto a ponto
* **Next Hop**: Diagnóstico de rotas para entender caminho de tráfego
***
## 📀 Artefatos Forenses no Azure
### 6.1 Azure Activity Log – Registro de Todas as Ações
O **Azure Activity Log** (anteriormente chamado de Azure Audit Logs) é o registro de todas as operações de gerenciamento realizadas em recursos do Azure .
**Campos críticos para investigação** :
* `caller` / `callerIpAddress`: Quem realizou a ação e de onde
* `operationName`: Ação executada (ex: `MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE`)
* `eventTimestamp`: Momento exato da ação
* `resultType`: Sucesso ou falha (`Success`, `Failure`)
* `resourceId`: Recurso afetado
**Comando para consultar Activity Log (Azure CLI)** :
```bash
az monitor activity-log list --resource-group Uros-PROD --query "[?operationName.value=='Microsoft.Compute/virtualMachines/delete']" --output table
```
### 6.2 Diagnostic Settings e Logs de Serviços
**Diagnostic Settings** configuram o envio de logs de recursos para destinos como Log Analytics workspace, Storage Account ou Event Hub .
| **Fonte** | **Logs Disponíveis** | **Valor Forense** |
| ---------------------- | ---------------------------------------------- | ------------------------------------------------------ |
| **VM (Windows/Linux)** | Syslog, Windows Event Logs, IIS logs | Logs de sistema, autenticação, eventos de segurança |
| **Azure SQL Database** | Query runtime, errors, deadlocks, autenticação | Atividade de banco de dados, tentativas de acesso |
| **Key Vault** | Audit events, policy events | Acessos a chaves e segredos, tentativas de modificação |
| **Storage Account** | Read/write/delete operations | Acessos a blobs, arquivos e tabelas |
| **NSG** | Flow logs | Tráfego de rede, conexões suspeitas |
### 6.3 Azure Policy e Azure Resource Graph
**Azure Resource Graph** permite consultar recursos em larga escala com KQL .
```kusto
Resources
| where type == "microsoft.compute/virtualmachines"
| where resourceGroup contains "PROD"
| extend tags = parse_json(tags)
| project name, location, resourceGroup, tags
```
**Azure Policy** fornece histórico de conformidade e mudanças de configuração .
### 6.4 Microsoft Sentinel Hunting e Investigation
O **Microsoft Sentinel** é a ferramenta central para investigação forense .
| **Recurso** | **Descrição** | **Aplicação Forense** |
| ------------------------------------ | ----------------------------------------- | ---------------------------------------------------- |
| **Incident Investigation** | Visualização gráfica do incidente | Mapear a cadeia completa de eventos (kill chain) |
| **Entity Behavior Analytics (UEBA)** | Machine learning para perfis de entidades | Detectar desvios do comportamento normal de usuários |
| **Threat Hunting** | Buscas proativas com KQL | Identificar IOCs não cobertos por regras automáticas |
| **Entity Triggers** | Playbooks manuais em entidades | Executar ações de resposta durante investigação |
### 6.5 Network Watcher NSG Flow Logs
Os **NSG Flow Logs** registram metadados de tráfego de rede :
| **Campo** | **Descrição** | **Exemplo** |
| ---------- | ---------------- | ---------------- |
| `srcIP` | IP de origem | 10.0.0.4 |
| `dstIP` | IP de destino | 52.167.50.8 |
| `srcPort` | Porta de origem | 49152 |
| `dstPort` | Porta de destino | 443 |
| `protocol` | Protocolo | TCP (6) |
| `action` | Ação do NSG | `Allow` / `Deny` |
### 6.6 Key Vault Audit Logs
Os logs de auditoria do Key Vault registram :
* **Acessos a chaves e segredos**: quem, quando, qual chave
* **Tentativas de modificação**: criação, atualização, exclusão de segredos
* **Operações de backup/restore**: exportação de chaves
* **Mudanças de política de acesso**: alterações em permissões
***
## 🔬 Investigação Forense e Cadeia de Custódia
### 7.1 Desafios da Forense em Nuvem
A forense em nuvem apresenta desafios únicos que exigem adaptação das metodologias tradicionais :
| **Desafio** | **Descrição** | **Abordagem Azure** |
| ---------------------------------------- | ----------------------------------------------------- | --------------------------------------------------------------------------- |
| **Compartilhamento de responsabilidade** | Cliente não tem acesso físico à infraestrutura | Foco em logs, APIs e ferramentas de investigação |
| **Elasticidade** | Recursos podem ser criados e destruídos dinamicamente | Coleta antecipada de evidências; logs centralizados |
| **Multi-tenancy** | Isolamento entre clientes | Azure garante isolamento; foco nos logs do próprio tenant |
| **Volatilidade** | Dados efêmeros (memória, IPs temporários) | Aquisição de snapshots e dumps de memória antes do desligamento |
| **Jurisdição** | Dados podem residir em múltiplas regiões | Conhecer localização dos dados; uso de Azure Policy para restringir regiões |
### 7.2 Aquisição Forense de Máquinas Virtuais
O processo forense para VMs no Azure segue uma metodologia estruturada :
```mermaid
graph LR
A[Identificar VM suspeita] --> B[Isolar a VM]
B --> C[Criar Snapshot do Disco OS]
C --> D[Transferir Snapshot para Storage Seguro]
D --> E[Montar em Workstation Forense]
E --> F[Analisar com Ferramentas Forenses]
```
**Passo a passo prático** :
```bash
# 1. Parar a VM para garantir consistência
az vm stop --resource-group Uros-PROD --name Ubuntu-Uros
# 2. Criar snapshot do disco OS
az snapshot create --resource-group Uros-PROD \
--name uros-ubuntu-snapshot \
--source /subscriptions/xxx/resourceGroups/Uros-PROD/providers/Microsoft.Compute/disks/Ubuntu-Uros_OsDisk_1
# 3. Copiar snapshot para storage de forense (outro resource group)
az snapshot grant-access --resource-group Uros-PROD \
--name uros-ubuntu-snapshot \
--duration-in-seconds 3600 \
--query accessSas
# 4. Criar managed disk a partir do snapshot
az disk create --resource-group SECURITY-UROS \
--name uros-forensic-disk \
--source /subscriptions/xxx/resourceGroups/Uros-PROD/providers/Microsoft.Compute/snapshots/uros-ubuntu-snapshot
# 5. Criar VM forense e anexar disco
az vm create --resource-group SECURITY-UROS --name ForensicVM --image Win2019Datacenter --admin-username forensics --admin-password "Secure@Pass123"
az vm disk attach --resource-group SECURITY-UROS --vm-name ForensicVM --disk uros-forensic-disk --lun 1
```
### 7.3 Cadeia de Custódia com Azure Architecture
A Microsoft propõe uma arquitetura de referência para garantir a cadeia de custódia de evidências digitais no Azure .
**Componentes da arquitetura** :
| **Componente** | **Função na Cadeia de Custódia** |
| -------------------------------------- | ---------------------------------------------------------------------- |
| **SOC Subscription** | Ambiente isolado e monitorado para armazenamento de evidências |
| **Azure Automation** | Runbook `Copy-VmDigitalEvidence` automatiza a aquisição |
| **Immutable Blob Storage** | WORM (Write Once, Read Many) com legal hold; garante não-erasabilidade |
| **Azure Key Vault (SOC)** | Armazena hashes dos snapshots e chaves de criptografia (BEK) |
| **Managed Identity (System-Assigned)** | Acesso controlado sem credenciais estáticas |
| **Azure Monitor + Log Analytics** | Auditoria de todas as ações sobre evidências |
**Práticas para cadeia de custódia** :
* **Registro de acesso**: Log de quem acessou evidências, quando e de onde
* **Integridade criptográfica**: Hashes de snapshots armazenados em Key Vault
* **Isolamento de acesso**: SOC team tem acesso exclusivo ao storage de evidências
* **Imutabilidade**: Blob Storage com política de retenção e legal hold
* **Validação jurídica**: Azure Storage é reconhecido como imutável por órgãos como SEC e FINRA
> ⚠️ **Importante**: Valide a aplicabilidade com o departamento jurídico antes do uso .
### 7.4 Workflow de Resposta a Incidentes
O workflow de resposta a incidentes no Azure segue a estrutura da **Cyber Kill Chain** (MITRE ATT\&CK) :
```mermaid
graph LR
A[Reconnaissance] --> B[Intrusion]
B --> C[Exploitation]
C --> D[Privilege Escalation]
D --> E[Lateral Movement]
E --> F[Obfuscation]
F --> G[Exfiltration]
```
**Ferramentas por estágio** :
| **Estágio** | **Ferramentas de Detecção** |
| ------------------------ | ---------------------------------------------------- |
| **Reconnaissance** | Microsoft Defender for Cloud, Azure Activity Log |
| **Intrusion** | Defender for Endpoint, Defender for Identity |
| **Exploitation** | Defender for Cloud (workload protection), Sentinel |
| **Privilege Escalation** | PIM, Microsoft Entra ID Protection |
| **Lateral Movement** | Network Watcher NSG Flow Logs, Defender for Identity |
| **Exfiltration** | Defender for Cloud Apps, Data Loss Prevention |
### 7.5 Exemplo Prático: Investigação de VM com Microsoft Sentinel
**Cenário**: Alerta de VM deletada sem autorização .
**Fase 1: Criação de Regra Analítica**
```kusto
AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
```
**Fase 2: Configuração do Incidente**
* Agendamento: a cada 5 minutos
* Alert threshold: > 0
* Entity mapping: Caller → Account, CallerIpAddress → IP
**Fase 3: Investigação do Incidente**
1. No portal Sentinel, acessar **Incidents**
2. Selecionar incidente "Deleted VMs"
3. Atribuir a si mesmo e definir status como **Active**
4. Clicar em **Investigate** para visualização gráfica
5. No grafo, selecionar:
* O incidente (centro)
* A entidade de usuário (quem deletou)
* Possíveis entidades relacionadas
**Fase 4: Resposta e Encerramento**
* Tomar ações de contenção (bloquear usuário, isolar recursos)
* Classificar como **Benign Positive - Suspicious but expected** se foi ação autorizada
* Documentar justificativa e encerrar incidente
***
## ✅ Melhores Práticas de Segurança Operacional
### 8.1 Governança e Estrutura de Assinaturas
| **Prática** | **Descrição** | **Implementação** |
| --------------------------- | ------------------------------------------------------ | ------------------------------------------------------------------------------ |
| **Management Groups** | Organizar assinaturas hierarquicamente | Raiz com políticas globais; segmentos por ambiente (produção, desenvolvimento) |
| **Limitar profundidade** | Máximo de 3 níveis de hierarquia | Evitar complexidade que dificulta operação |
| **Testar mudanças no root** | Alterações no nível mais alto afetam todos os recursos | Usar laboratório ou piloto antes de aplicar em produção |
| **Azure Blueprints** | Pacotes reutilizáveis de recursos e políticas | Padronizar ambientes com segurança pré-configurada |
### 8.2 Gestão de Identidades e Acesso
| **Prática** | **Descrição** | **Justificativa** |
| ---------------------------------- | ------------------------------------ | ------------------------------------------------------------------------- |
| **MFA para todos os usuários** | Especialmente para administradores | 99,9% dos ataques de comprometimento de identidade são bloqueados com MFA |
| **Privileged Identity Management** | Ativação just-in-time de privilégios | Reduz exposição permanente de contas privilegiadas |
| **Access Reviews** | Revisão periódica de permissões | Remover acessos que não são mais necessários |
| **Credential Hygiene** | Senhas fortes, evitar reutilização | Prevenir credential stuffing e ataques de senha |
| **Legacy Protocols Blocking** | Desabilitar SMBv1, NTLM, TLS 1.0/1.1 | Reduzir superfície de ataque |
### 8.3 Monitoramento e Resposta a Incidentes
| **Prática** | **Descrição** | **Ferramentas** |
| ------------------------------ | ---------------------------------------- | -------------------------------------- |
| **Centralizar logs** | Todos os logs em Log Analytics workspace | Diagnostic Settings, Log Analytics |
| **Hunting proativo** | Busca de IOCs e TTPs antes de alertas | Sentinel Threat Hunting, notebooks |
| **Playbooks de resposta** | Automação para ações comuns | Logic Apps, Sentinel playbooks |
| **Simulações regulares** | Testar planos de resposta | Tabletop exercises, Breach simulations |
| **Fusion kill-chain analysis** | Correlação automática de alertas | Microsoft Defender for Cloud, Sentinel |
### 8.4 Proteção de Dados e Criptografia
| **Prática** | **Descrição** | **Implementação** |
| ---------------------------- | ------------------------------------ | ---------------------------------------- |
| **Criptografia em repouso** | AES-256 por padrão | Azure Storage Service Encryption, TDE |
| **Criptografia em trânsito** | TLS 1.2+ com Perfect Forward Secrecy | Forçar HTTPS, Application Gateway TLS |
| **Key Vault para segredos** | Nunca hardcodar credenciais | Managed Identities, Key Vault References |
| **Backup e recuperação** | Independência e isolamento | Azure Backup, Azure Site Recovery |
| **WORM storage** | Evidências não alteráveis | Immutable Blob Storage com legal hold |
***
## 📚 Referências e Ferramentas
### Documentação Oficial Microsoft
| **Tópico** | **Documentação** |
| -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Azure Security** | [Microsoft Learn - Azure Security](https://learn.microsoft.com/en-us/azure/security/) |
| **End-to-End Security** | [Azure end-to-end security](https://learn.microsoft.com/en-us/azure/security/fundamentals/end-to-end) |
| **Security Services & Technologies** | [Azure security services and technologies](https://raw.githubusercontent.com/MicrosoftDocs/azure-docs/main/articles/security/fundamentals/services-technologies.md) |
| **Microsoft Sentinel** | [Microsoft Sentinel documentation](https://learn.microsoft.com/en-us/azure/sentinel/) |
| **Forensics Chain of Custody** | [Computer forensics chain of custody in Azure](https://learn.microsoft.com/en-us/azure/architecture/example-scenario/forensics/) |
| **Best Practices** | [Azure security best practices](https://learn.microsoft.com/en-us/azure/security/fundamentals/best-practices-and-patterns) |
| **Microsoft Cloud Security Benchmark** | [MCSB Overview](https://learn.microsoft.com/en-us/security/benchmark/azure/) |
### Ferramentas Essenciais
| **Ferramenta** | **Função** | **Plataforma** |
| --------------------------------- | ------------------------------- | ----------------------- |
| **Azure Portal** | Gerenciamento centralizado | Web |
| **Azure CLI** | Automação e consultas | Windows, Linux, macOS |
| **Azure PowerShell** | Automação e gerenciamento | Windows, Linux, macOS |
| **Azure Resource Graph Explorer** | Consultas avançadas de recursos | Portal |
| **Kusto Query Language (KQL)** | Linguagem de consulta para logs | Sentinel, Log Analytics |
| **Azure Automation** | Automação de processos | Portal, PowerShell |
| **Logic Apps** | Automação de respostas | Portal, VS Code |
### Comunidade e Treinamento
* [Microsoft Learn Security Learning Paths](https://learn.microsoft.com/en-us/training/browse/?terms=security)
* [Azure Security Center Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/bd-p/MicrosoftDefenderCloud)
* [Microsoft Sentinel Community](https://techcommunity.microsoft.com/t5/microsoft-sentinel/bd-p/MicrosoftSentinel)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/ambientes/azure.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.