Entenda os alertas de segurança
No Microsoft Defender para Nuvem, há uma variedade de alertas para vários tipos de recursos diferentes. O Defender para Nuvem gera alertas para recursos implantados no Azure e para recursos implantados em ambientes de nuvens híbrida e locais. Os alertas de segurança são ativados por detecções avançadas e estão disponíveis apenas no Defender para Nuvem.
Responder às ameaças atuais
Houve alterações significativas no panorama de ameaças nos últimos 20 anos. Antigamente, as empresas normalmente só precisavam preocupar-se com a desfiguração do site por invasores individuais, que basicamente tinham interesse em ver "o que poderiam fazer". Os hackers de hoje em dia são muito mais sofisticados e organizados. Eles geralmente têm objetivos estratégicos e financeiros específicos. Eles também têm mais recursos disponíveis, já que podem ser financiados por nações ou pelo crime organizado.
As mudanças nessa realidade levaram a um nível de profissionalismo nas classificações do invasor sem precedentes. Eles não estão mais interessados em desfiguração da Web. Agora, eles estão interessados em roubo de informações, de contas financeiras e de dados privados, que podem usar para gerar dinheiro no mercado aberto ou para utilizar um negócio específico, para fins políticos ou militares. Ainda mais preocupante que esses invasores com um objetivo financeiro, são os que violam as redes prejudicar a infraestrutura e pessoas.
Em resposta, as organizações geralmente implantam várias soluções pontuais, com foco em defender o perímetro ou os pontos de extremidade da empresa procurando assinaturas de ataques conhecidos. Essas soluções tendem a gerar um alto volume de alertas de baixa fidelidade, que exigem que um analista de segurança faça a triagem e investigue. A maioria das organizações não têm o tempo e o conhecimento necessário para responder a esses alertas; vários ficam sem investigação.
Além disso, os invasores têm evoluído seus métodos para examinar as várias defesas baseadas em assinatura e adaptar-se a ambientes em nuvem. Novas abordagens são necessárias para identificar ameaças emergentes e agilizar a detecção e a resposta mais rapidamente.
O que são alertas de segurança e incidentes de segurança?
Alertas são as notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. O Defender para Nuvem prioriza e lista os alertas, juntamente com as informações necessárias para que você investigue rapidamente o problema. O Defender para Nuvem também faz recomendações sobre como corrigir um ataque.
Um incidente de segurança é uma coleção de alertas relacionados, em vez de listar cada alerta individualmente. O Defender para Nuvem usa a Correlação de Alertas Inteligentes na Nuvem para correlacionar diferentes alertas e sinais de baixa fidelidade a incidentes de segurança.
Com os incidentes de segurança, o Defender para Nuvem fornece uma visão única de uma campanha de ataque e todos os alertas relacionados. Essa exibição permite que você entenda rapidamente as ações tomadas pelo invasor e quais recursos foram afetados. Para saber mais, confira Correlação de alertas inteligentes de nuvem.
Como o Defender para Nuvem detecta ameaças?
Os pesquisadores de segurança da Microsoft estão constantemente à procura de ameaças. Devido à nossa presença global na nuvem e localmente, temos acesso a um conjunto expansivo de telemetria. A coleção diversa e abrangente de conjuntos de dados nos permite a descoberta de novos padrões de ataque e tendências em nossos produtos de consumidor e empresariais no local, bem como em serviços online. Como resultado, o Defender para Nuvem pode atualizar rapidamente seus algoritmos de detecção conforme os invasores lançam explorações novas e cada vez mais sofisticadas. Isso ajuda a acompanhar o ritmo de um ambiente de ameaças que muda rapidamente.
A fim de detectar ameaças e reduzir os falsos positivos, o Defender para Nuvem coleta, analisa e integra os dados de registro dos recursos do Azure e da rede. Ele também funciona com soluções de parceiros conectadas, como firewall e soluções de proteção de ponto de extremidade. O Defender para Nuvem analisa essas informações geralmente correlacionando informações de várias fontes para identificar ameaças.
O Defender para Nuvem emprega análise de segurança avançada, que vai além das abordagens baseadas em assinatura. As inovações em tecnologias de big data e aprendizado de máquina são usadas para avaliar eventos em toda a malha de nuvem, detectando ameaças que seriam impossíveis de identificar usando abordagens manuais e prevendo a evolução de ataques. Essas análises de segurança incluem:
Inteligência integrada contra ameaças: A Microsoft tem uma grande quantidade de inteligência contra ameaças globais. A telemetria flui de várias fontes, como o Azure, o Microsoft 365, o Microsoft CRM online, o Microsoft Dynamics AX, o outlook.com, o MSN.com, a DCU (Unidade de Crimes Digitais da Microsoft) e o Microsoft Security Response Center (MSRC). Os pesquisadores também recebem informações de inteligência de ameaça compartilhadas entre os principais provedores de serviços de nuvem e feeds de terceiros. O Defender para Nuvem pode usar essas informações para alertar você sobre ameaças de atores mal-intencionados conhecidos.
Análise comportamental: A análise de comportamento é uma técnica que analisa e compara dados em uma coleção de padrões conhecidos. No entanto, esses padrões não são assinaturas simples. Eles são determinados por meio de algoritmos complexos de machine learning aplicados a enormes conjuntos de dados. Eles também são determinados pela análise cuidadosa de comportamentos mal-intencionados por analistas especialistas. O Defender para Nuvem pode usar análises comportamentais para identificar recursos comprometidos com base na análise de logs de máquina virtual, logs de dispositivo de rede virtual, logs de malha e outras fontes.
Detecção de anomalias: o Defender para Nuvem também usa a detecção de anomalias para identificar ameaças. Ao contrário da análise de comportamento (que depende de padrões conhecidos derivados de grandes conjuntos de dados), a detecção de anomalias é mais "personalizada" e se concentra nas linhas de base específicas das suas implantações. O Aprendizado de máquina é aplicado para determinar a atividade normal de suas implantações. Em seguida, as regras são geradas para definir condições de exceção que podem representar um evento de segurança.
Como os alertas são classificados?
O Defender para Nuvem atribui uma gravidade aos alertas, para ajudar você a priorizar a ordem na qual responde a cada alerta, para poder acessar um recurso assim que ele for atacado. A gravidade se baseia na confiança que o Defender para Nuvem tem na conclusão, ou na análise usada para emitir o alerta, e no nível de confiança de que houve uma ação mal-intencionada por trás da atividade que gerou o alerta.
Alta: há uma grande probabilidade de que o recurso esteja comprometido. Você deve analisá-lo imediatamente. O Defender para Nuvem tem alta confiança em ambas as más intenções e em descobertas usadas para emitir o alerta. Por exemplo, um alerta detecta a execução de uma ferramenta mal-intencionada conhecida, como Mimikatz, uma ferramenta comum usada para roubo de credenciais.
Média: essa gravidade mostra que esta provavelmente é uma atividade suspeita que poderá indicar que um recurso está comprometido. A confiança do Defender para Nuvem na análise ou localização é média e a confiança de más intenções é média a alta. Normalmente, essas seriam machine learning ou detecções baseadas em anomalia. Por exemplo, uma tentativa de conexão de um local anômalo.
Baixa: essa gravidade indica que este pode ser um positivo benigno ou um ataque bloqueado.
O Defender para Nuvem não tem confiança suficiente de que a intenção é mal-intencionada e a atividade pode ser inocente. Por exemplo, limpar o log é uma ação que pode acontecer quando um invasor tenta ocultar o percurso, mas em muitos casos é uma operação de rotina executada por administradores.
O Defender para Nuvem geralmente não informa quando ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você examine.
Informativo: você só verá alertas informativos ao fazer busca detalhada em um incidente de segurança ou se usar a API REST com uma ID de alerta específica. Um incidente geralmente é composto de muitos alertas, alguns dos quais podem aparecer por conta própria e são apenas informativo, mas no contexto de outros alertas, pode ser importante uma análise mais detalhada.
Monitoramento e avaliações contínuos
O Defender para Nuvem se beneficia de ter equipes de pesquisa de segurança e ciência de dados em toda a Microsoft, que monitoram continuamente as mudanças no cenário de ameaças. Isso inclui as seguintes iniciativas:
Monitoramento de inteligência contra ameaças: A inteligência contra ameaças inclui mecanismos, indicadores, implicações e recomendações acionáveis sobre ameaças existentes ou iminentes. Essas informações são compartilhadas na comunidade de segurança e a Microsoft monitora continuamente os feeds de inteligência contra ameaças de fontes internas e externas.
Compartilhamento de sinal: Ideias de equipes de segurança de todo o amplo portfólio da Microsoft de serviços locais e de nuvem, servidores e dispositivos de ponto de extremidade cliente são compartilhadas e analisadas.
Especialistas de segurança da Microsoft: Comprometimento contínuo com as equipes da Microsoft que trabalham em campos de segurança especializada, como computação forense e detecção de ataque à Web.
Ajuste de detecção: Algoritmos são executados em conjuntos de dados do cliente reais e pesquisadores de segurança trabalham com os clientes para validar os resultados. Verdadeiros e falsos positivos são usados para refinar os algoritmos de aprendizado de máquina.
Entender os tipos de alerta
A lista de referências de alerta atual contém mais de 500 tipos de alertas. A lista de referências pode ser revisada em: Alertas de segurança – Um guia de referência
Cada tipo de alerta tem uma descrição, severidade e tática MITRE ATTA&CK
Táticas MITRE ATT&CK
Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Defender para Nuvem incluem as táticas MITRE com muitos alertas. A série de etapas que descrevem a progressão de um ciberataque de reconhecimento para exfiltração de dados é geralmente conhecida como "kill chain".
As intenções de cadeia de kill com suporte do Defender para Nuvem são baseadas na versão 7 da matriz CK do MITRE ATT&CK e descritas na tabela abaixo.
| Tática | Descrição |
|---|---|
| PreAttack | O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente da intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Normalmente, a etapa é detectada como uma tentativa, proveniente de fora da rede, para verificar o sistema de destino e identificar um ponto de entrada. |
| InitialAccess | InitialAccess é o estágio em que um invasor consegue obter uma base no recurso atacado. Este estágio é relevante para hosts e recursos de computação, como contas de usuário, certificados etc. Os atores de ameaças geralmente serão capazes de controlar o recurso após esse estágio. |
| Persistência | A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema. Os atores de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exijam que uma ferramenta de acesso remoto reinicie ou forneça um backdoor alternativo para que eles recuperem o acesso. |
| PrivilegeEscalation | A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos em uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários atinjam seu objetivo também podem ser consideradas uma elevação de privilégio. |
| Evasão de defesa | A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da detecção ou evitar outras defesas. Às vezes, essas ações são as mesmas que as técnicas (ou variações) em outras categorias que têm o benefício adicional de derrubar uma determinada defesa ou mitigação. |
| CredentialAccess | O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas contas de usuários ou de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior no ambiente. |
| Descoberta | A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, eles devem se alinhar para o que agora têm controle e quais benefícios o sistema operacional oferece ao seu objetivo atual ou metas gerais durante a invasão. O sistema operacional fornece muitas ferramentas nativas que auxiliam nesta fase de coleta de informações após o comprometimento. |
| LateralMovement | A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e nuvem, mas não inclui necessariamente a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, ponto de acesso a mais sistemas, acesso a informações ou arquivos específicos, acesso a outras credenciais ou causar algum efeito. |
| Execução | A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto. Essa tática geralmente é usada com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede. |
| Coleção | A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento. Essa categoria também aborda locais em um sistema ou rede em que o adversário pode procurar informações para exportar. |
| Exfiltração | A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação. Essa categoria também aborda locais em um sistema ou rede em que o adversário pode procurar informações para exportar. |
| CommandAndControl | A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino. |
| Impacto | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outros. |