Alertas de segurança e incidentes

Este artigo descreve alertas de segurança e notificações no Microsoft Defender para Nuvem.

O que são alertas de segurança?

Alertas de segurança são as notificações geradas pelos planos de proteção de cargas de trabalho do Defender para Nuvem quando ameaças em seus ambientes Azure, híbridos ou de várias nuvens.

  • Os alertas de segurança são disparados por detecções avançadas disponíveis quando você habilita os planos do Defender para tipos de recursos específicos.
  • Cada alerta fornece detalhes dos recursos afetados, problemas e etapas de correção.
  • O Defender para Nuvem classifica os alertas e os prioriza por severidade.
  • Os alertas são exibidos no portal por 90 dias, mesmo que o recurso relacionado ao alerta tenha sido excluído durante esse período. Isso ocorre porque o alerta pode indicar uma possível violação à sua organização que precisa ser investigada mais detalhadamente.
  • Os alertas podem ser exportados no formato CSV.
  • Os alertas também podem ser transmitidos diretamente para uma solução de Gerenciamento de Eventos e Informações de Segurança (SIEM), como Microsoft Sentinel, Security Orchestration Automated Response (SOAR) ou Gerenciamento de Serviços de TI (ITSM).
  • O Defender para Nuvem aproveita aMatriz de Ataques MITRE para associar alertas às respectivas intenções percebidas, ajudando a formalizar o conhecimento do domínio de segurança.

Como os alertas são classificados?

Os alertas têm um nível de severidade atribuído para ajudar a priorizar como atender a cada alerta. Severidade é baseada em:

  • O gatilho de evento específico
  • O nível de confiança de que havia intenção maliciosa por trás da atividade que levou ao alerta
Severidade Resposta recomendada
Alta Há uma grande probabilidade de que o recurso seja comprometido. Você deve analisá-lo imediatamente. O Defender para Nuvem tem alta confiança em ambas as más intenções e em descobertas usadas para emitir o alerta. Por exemplo, um alerta que detecta a execução de uma ferramenta mal-intencionada conhecida como Mimikatz, uma ferramenta comum usada para roubo de credenciais.
Média Isso provavelmente é uma atividade suspeita que pode indicar que um recurso está comprometido. A confiança do Defender para Nuvem na análise ou localização é média e a confiança de más intenções é média a alta. Normalmente, seriam detecções baseadas em aprendizado de máquina ou em anomalias, por exemplo, uma tentativa de entrada em um local incomum.
Baixa Isso pode ser um positivo benigno ou um ataque bloqueado. O Defender para Nuvem não tem confiança suficiente de que a intenção é mal-intencionada, e a atividade pode ser inocente. Por exemplo, limpar o log é uma ação que pode acontecer quando um invasor tenta ocultar o percurso, mas em muitos casos é uma operação de rotina executada pelos administradores. O Defender para Nuvem geralmente não informa quando ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você examine.
Informativa Um incidente geralmente é composto de um número de alertas, alguns dos quais podem aparecer por conta própria e são apenas informativo, mas no contexto de outros alertas podem ser dignos de uma análise mais detalhada.

O que são incidentes de segurança?

Um incidente de segurança é uma coleção de alertas relacionados.

Os incidentes fornecem uma única exibição de um ataque e os alertas relacionados, para permitir que você entenda rapidamente as ações realizadas por um invasor e os recursos afetados.

À medida que a cobertura de ameaças aumenta, aumenta também a necessidade de detectar até mesmo o menor comprometimento. É um desafio para os analistas de segurança fazer a triagem de diferentes alertas e identificar um ataque real. Ao correlacionar alertas e sinais de baixa fidelidade em incidentes de segurança, o Defender para Nuvem ajuda os analistas a lidar com essa fadiga de alerta.

Na nuvem, os ataques podem ocorrer em diferentes locatários, o Defender para Nuvem pode combinar algoritmos de IA para analisar as sequências de ataque que são relatadas em cada assinatura do Azure. Essa técnica identifica as sequências de ataque como padrões de alerta predominantes, em vez de serem associadas apenas incidentalmente entre si.

Durante uma investigação de um incidente, os analistas muitas vezes precisam de contexto extra para atingirem um veredito sobre a natureza da ameaça e como resolvê-la. Por exemplo, mesmo quando uma anomalia de rede é detectada, se não há compreensão do que está acontecendo na rede ou do recurso de destino, é difícil saber quais ações devem ser tomadas. Para ajudar, um incidente de segurança pode incluir artefatos, eventos relacionados e informações. As informações adicionais disponíveis para incidentes de segurança variam de acordo com o tipo de ameaça detectada e a configuração do seu ambiente.

Correlacionar alertas em incidentes

O Defender para Nuvem correlaciona alertas e sinais contextuais em incidentes.

  • A correlação analisa diferentes sinais em todos os recursos e combina conhecimento de segurança e IA para analisar alertas, descobrindo novos padrões de ataque, à medida que ocorrem.
  • Usando as informações coletadas para cada etapa de um ataque, o Defender para Nuvem também pode eliminar uma atividade que parece ser uma das etapas de um ataque, mas, na verdade, não é.

Dica

Na referência de alertas, examine a lista de alertas de incidentes de segurança que podem ser produzidos por correlação de incidentes.

Como o Defender para Nuvem detecta ameaças?

Para detectar ameaças reais e reduzir falsos positivos, o Defender para Nuvem monitora recursos, coleta e analisa dados quanto a ameaças, muitas vezes correlacionando dados de várias fontes.

Apresentação e coleta de dados do Defender para Nuvem.

Iniciativas da Microsoft

O Microsoft Defender para Nuvem aproveita o fato de ter equipes de pesquisas de segurança e de ciência de dados em toda a Microsoft, que monitoram continuamente em busca de alterações no panorama de ameaças. Isso inclui as seguintes iniciativas:

  • Especialistas de segurança da Microsoft: Comprometimento contínuo com as equipes da Microsoft que trabalham em campos de segurança especializada, como computação forense e detecção de ataque à Web.

  • Pesquisa de segurança da Microsoft: nossos pesquisadores estão constantemente à procura de ameaças. Devido à nossa presença global na nuvem e localmente, temos acesso a um conjunto expansivo de telemetria. A coleção diversa e abrangente de conjuntos de dados nos permite a descoberta de novos padrões de ataque e tendências em nossos produtos de consumidor e empresariais no local, bem como em serviços online. Como resultado, o Defender para Nuvem pode atualizar rapidamente seus algoritmos de detecção conforme os invasores lançam explorações novas e cada vez mais sofisticadas. Isso ajuda a acompanhar o ritmo de um ambiente de ameaças que muda rapidamente.

  • Monitoramento de inteligência contra ameaças: A inteligência contra ameaças inclui mecanismos, indicadores, implicações e recomendações acionáveis sobre ameaças existentes ou iminentes. Essas informações são compartilhadas na comunidade de segurança e a Microsoft monitora continuamente os feeds de inteligência contra ameaças de fontes internas e externas.

  • Compartilhamento de sinal: Ideias de equipes de segurança de todo o amplo portfólio da Microsoft de serviços locais e de nuvem, servidores e dispositivos de ponto de extremidade cliente são compartilhadas e analisadas.

  • Ajuste de detecção: Algoritmos são executados em conjuntos de dados de clientes reais e os pesquisadores de segurança trabalham com os clientes para validar os resultados. Verdadeiros e falsos positivos são usados para refinar os algoritmos de aprendizado de máquina.

Esses esforços combinados culminam em detecções novas e aprimoradas de que você pode se beneficiar instantaneamente. Não há nenhuma ação a ser tomada.

Análise de segurança

O Defender para Nuvem emprega análise de segurança avançada, que vai além das abordagens baseadas em assinatura. Inovações em tecnologias de big data e aprendizado de máquina são usadas para aproveitar os eventos de avaliação em toda a malha de nuvem, detectando ameaças que seriam impossíveis de identificar usando abordagens manuais e prevendo a evolução de ataques. Essas análises de segurança incluem:

Inteligência integrada contra ameaças

A Microsoft tem uma grande quantidade de inteligência contra ameaças globais. A telemetria flui de várias fontes, como o Azure, o Microsoft 365, o Microsoft CRM online, o Microsoft Dynamics AX, o outlook.com, o MSN.com, a DCU (Unidade de Crimes Digitais da Microsoft) e o Microsoft Security Response Center (MSRC). Os pesquisadores também recebem informações de inteligência de ameaça que são compartilhadas entre os principais provedores de serviços de nuvem e feeds de terceiros. O Microsoft Defender para Nuvem pode usar essas informações para alertá-lo de ameaças vindas de maus atores conhecidos.

Análise comportamental

A análise de comportamento é uma técnica que analisa e compara dados em uma coleção de padrões conhecidos. No entanto, esses padrões não são assinaturas simples. Eles são determinados por meio de algoritmos de aprendizado de máquina complexos que são aplicados a grandes conjuntos de dados. Eles também são determinados pela análise cuidadosa de comportamentos mal-intencionados por analistas especialistas. O Microsoft Defender para Nuvem pode usar a análise de comportamento para identificar recursos comprometidos baseado na análise dos logs de máquina virtual, dos logs de dispositivo de rede virtual, dos logs da malha e de outras fontes.

Detecção de anomalias

O Defender para Nuvem também usa a detecção de anomalias para identificar ameaças. Ao contrário da análise de comportamento, que depende de padrões conhecidos derivados de grandes conjuntos de dados, a detecção de anomalias é mais "personalizada" e se concentra nas linhas de base que são específicas das suas implantações. O aprendizado de máquina é aplicado para determinar a atividade normal das implantações e, em seguida, as regras são geradas para definir condições de exceção que possam representar um evento de segurança.

Exportação de alertas

Você tem uma variedade de opções para ver seus alertas fora do Defender para Nuvem, incluindo:

  • Baixar o relatório CSV, no painel de alertas, fornece uma exportação realizada apenas uma vez para CSV.
  • A exportação contínua de configurações e de ambiente permite que você configure fluxos de alertas de segurança e recomendações para workspaces do Log Analytics e Hubs de Eventos. Saiba mais.
  • O conector do Microsoft Sentinel transmite alertas de segurança do Microsoft Defender para Nuvem para o Microsoft Sentinel. Saiba mais.

Saiba mais sobre como transmitir alertas para uma solução de SIEM, SOAR ou Gerenciamento de Serviços de TI e como exportar dados continuamente.

Próximas etapas

Neste artigo, você aprendeu sobre os diferentes tipos de alertas disponíveis no Defender para Nuvem. Para obter mais informações, consulte: