Recomendações para o monitoramento e a detecção de ameaça
Aplica-se a esta recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:08 | Implemente uma estratégia de monitoramento holística que dependa de mecanismos de detecção de ameaça modernos que possam ser integrados à plataforma. Os mecanismos devem alertar de maneira confiável para triagem e enviar sinais para processos SecOps existentes. |
|---|
Este guia descreve as recomendações para monitorar a detecção de ameaça. Basicamente, o monitoramento é um processo de obtenção das informações sobre eventos já ocorridos. Monitoramento de segurança é uma prática para capturar informações em diferentes altitudes da carga de trabalho (identidades, fluxos, aplicativos, operações) para gerar conscientização de atividades suspeitas. A meta é prever incidentes e aprender com eventos passados. O monitoramento de dados oferece a base da análise pós-incidente do que ocorreu para ajudar na resposta ao incidente e nas investigações periciais.
O monitoramento é uma abordagem de excelência operacional aplicada em todos os pilares do Well-Architected. Power Platform Este guia só oferece recomendações de uma perspectiva de segurança. Os conceitos gerais de monitoramento são abordados em Recomendações para projetar e criar um sistema de monitoramento.
Definições
| Termo | Definição |
|---|---|
| Logs de auditoria | Um registro de atividades em um sistema. |
| Gerenciamento de eventos e informações de segurança (SIEM) | Uma abordagem que usa capacidades internas de detecção de ameaça e inteligência com base em dados agregados de várias fontes. |
| Detecção de ameaça | Uma estratégia para detectar desvios em relação a ações esperadas usando dados coletados, analisados e correlacionados. |
| Inteligência contra ameaças | Uma estratégia para interpretar dados de detecção de ameaça a fim de detectar atividades suspeitas ou ameaças examinando padrões. |
| Prevenção de ameaça | Controles de segurança implantados em uma carga de trabalho em altitudes variadas para proteger os ativos. |
Estratégias-chave de design
A principal finalidade do monitoramento de segurança é a detecção de ameaça. O objetivo principal é evitar violações de segurança em potencial e manter um ambiente seguro. No entanto, é igualmente importante reconhecer que nem todas as ameaças podem ser bloqueadas preventivamente. Nesses casos, o monitoramento também funciona como um mecanismo para identificar a causa de um incidente de segurança ocorrido apesar dos esforços de prevenção.
O monitoramento pode ser abordado de perspectivas variadas:
Monitore em várias altitudes. A observação de altitudes variadas é o processo de obtenção das informações sobre fluxos de usuários, acesso a dados, identidade, rede e até mesmo o sistema operacional. Cada uma dessas áreas oferece insights exclusivos capazes de ajudar você a identificar desvios em relação aos comportamentos esperados estabelecidos referentes à linha de base de segurança. Por outro lado, o monitoramento contínuo de um sistema e de aplicativos com o passar do tempo pode ajudar a estabelecer essa postura da linha de base. Por exemplo, você normalmente vê aproximadamente 1.000 tentativas de entrada no sistema de identidade a cada hora. Se o monitoramento detecta um pico de 50.000 tentativas de entrada durante um curto período, um invasor pode estar tentando obter acesso ao sistema.
Monitore em escopos variados de impacto. É fundamental observar o aplicativo e a plataforma. Vamos supor que um usuário do aplicativo consiga privilégios escalonados ou ocorra uma violação da segurança. Se o usuário realizar ações além do escopo designado, o impacto poderá estar confinado às ações que outros usuários podem realizar.
No entanto, se uma entidade interna comprometer um banco de dados, a extensão do dano em potencial será incerta.
O raio de explosão ou o escopo do impacto pode ser bem diferente, dependendo de qual desses cenários ocorre.
Use ferramentas de monitoramento especializadas. É fundamental investir em ferramentas especializadas capazes de procurar continuamente comportamentos anômalos que possam indicar um ataque. A maioria dessas ferramentas tem recursos de inteligência contra ameaças capazes de realizar uma análise preditiva com base em um grande volume de dados e ameaças conhecidas. A maioria das ferramentas não é sem estado e incorpora um reconhecimento profundo da telemetria em um contexto de segurança.
As ferramentas precisam ser integradas à plataforma ou, pelo menos, reconhecer a plataforma para obter sinais profundos da plataforma e fazer previsões com alta fidelidade. Elas devem ser capazes de gerar alertas em tempo hábil com informações suficientes para realizar a triagem devida. O uso de muitas ferramentas pode acarretar complexidade.
Use o monitoramento na resposta a incidente. Dados agregados, transformados em inteligência acionável, possibilitam reações rápidas e eficazes a incidentes. O monitoramento ajuda em atividades pós-incidente. A meta é coletar dados o suficiente para analisar e compreender o que aconteceu. O processo de monitoramento captura informações sobre eventos anteriores a fim de aprimorar recursos reativos e potencialmente prever incidentes futuros.
As seções a seguir apresentam práticas recomendadas que incorporam as perspectivas de monitoramento anteriores.
Capture dados para manter um controle das atividades
O objetivo é manter uma trilha de auditoria abrangente de eventos significativos de uma perspectiva de segurança. O registro em log é a maneira mais comum de capturar padrões de acesso. O registro em log deve ser realizado para o aplicativo e a plataforma.
Para uma trilha de auditoria, você precisa estabelecer o quê, quando e quem associados às ações. Você precisa identificar os períodos específicos quando as ações são realizadas. Faça essa avaliação na modelagem de ameaça. Para neutralizar uma ameaça de repúdio, você deve estabelecer sistemas fortes de registro em log e auditoria que resultem em um registro de atividades e transações.
As seções a seguir descrevem casos de uso para algumas altitudes comuns de uma carga de trabalho.
Fluxos de usuário da carga de trabalho
A carga de trabalho deverá ser projetada para oferecer visibilidade de runtime quando ocorrerem eventos. Identifique os pontos críticos dentro da carga de trabalho e estabeleça o registro em log desses pontos. É importante reconhecer qualquer escalonamento nos privilégios do usuário, as ações realizadas pelo usuário e se o usuário acessou informações confidenciais em um armazenamento de dados seguro. Acompanhe as atividades do usuário e da sessão do usuário.
Para facilitar esse acompanhamento, o código deve ser instrumentalizado por meio do registro em log estruturado. Isso permite a consulta e a filtragem fáceis e uniformes dos logs.
Importante
Você precisa impor o registro em log responsável para manter a confidencialidade e a integridade do sistema. Os segredos e os dados confidenciais não devem ser exibidos em logs. Tome cuidado com o vazamento de dados pessoais e outros requisitos de conformidade ao capturar esses dados de log.
Monitoramento de identidade e acesso
Mantenha um registro completo dos padrões de acesso do aplicativo e das modificações feitas nos recursos da plataforma. Mantenha logs de atividades robustos e mecanismos para detecção de ameaça, especialmente para atividades relacionadas à identidade, porque os invasores normalmente tentam manipular identidades para obter acesso não autorizado.
Implemente um registro em log abrangente usando todos os pontos de dados disponíveis. Por exemplo, inclua o endereço IP do cliente para diferenciar uma atividade de usuário regular e ameaças em potencial de locais inesperados. Todos os eventos de registro em log devem receber o carimbo de data/hora do servidor.
Registre todas as atividades de acesso a recursos, capturando quem está fazendo o quê e quando. As instâncias de elevação de privilégio são um ponto de dados significativo que deve ser registrado. As ações relacionadas à criação ou à exclusão da conta pelo aplicativo também devem ser registradas. Essa recomendação se estende aos segredos do aplicativo. Monitore quem acessa segredos e quando ocorre a rotação deles.
Embora o registro em log de ações bem-sucedidas seja importante, o registro de falhas é necessário de uma perspectiva de segurança. Documente eventuais violações, como um usuário tentando uma ação mas encontrando uma falha na autorização, tentativas de acesso a recursos inexistentes e outras ações aparentemente suspeitas.
Monitoramento de rede
O design de segmentação deve habilitar pontos de observação nos limites a fim de monitorar o que os cruza e registrar esses dados. Por exemplo, monitore sub-redes que tenham grupos de segurança de rede gerando logs de fluxo. Monitore também logs de firewall que mostrem os fluxos que foram permitidos ou negados.
Existem logs de acesso para solicitações da conexão de entrada. Esses logs registram os endereços IP de origem que iniciam as solicitações, o tipo de solicitação (GET, POST) e todas as outras informações que fazem parte das solicitações.
A captura dos fluxos DNS é um requisito significativo para muitas organizações. Por exemplo, os logs DNS podem ajudar a identificar qual usuário ou dispositivo iniciou uma consulta DNS em especial. Ao correlacionar a atividade DNS com logs de autenticação do usuário/dispositivo, você pode rastrear atividades até clientes individuais. Essa responsabilidade normalmente se estende à equipe da carga de trabalho, especialmente se implantam algo que faz das solicitações DNS parte da operação. A análise de tráfego DNS é um aspecto-chave da observabilidade de segurança da plataforma.
É importante monitorar solicitações DNS inesperadas ou solicitações DNS direcionadas para pontos de extremidade de comando e controle conhecidos.
Compensação: Registrar todas as atividades de rede pode resultar em uma grande quantidade de dados. Infelizmente, não é possível capturar apenas eventos adversos porque eles só podem ser identificados depois que ocorrem. Tome decisões estratégicas sobre o tipo de evento a ser capturado e por quanto tempo armazená-lo. Se você não tomar cuidado, o gerenciamento dos dados poderá ser desgastante. Também existe uma compensação quanto ao custo de armazenamento desses dados.
Capturar alterações feitas no sistema
Para manter a integridade do sistema, você deve ter um registro preciso e atualizado do estado do sistema. Se houver alterações, você poderá usar esse registro para resolver prontamente eventuais problemas que surjam.
Os processos de compilação também devem emitir telemetria. O reconhecimento do contexto de segurança dos eventos é a chave. Saber o que disparou o processo de compilação, quem o disparou e quando foi disparado pode fornecer insights valiosos.
Acompanhe quando os recursos são criados e quando são desativados. Essas informações devem ser extraídas da plataforma. Essas informações dão insights valiosos para o gerenciamento de recursos e a responsabilidade.
Monitore o descompasso na configuração do recurso. Documente todas as alterações feitas em um recurso existente. Além disso, acompanhe as alterações não concluídas como parte de uma distribuição em uma frota de recursos. Os logs devem capturar as especificidades da alteração e a hora exata em que ela ocorreu.
Tenha uma visão abrangente, de uma perspectiva da aplicação de patch, se o sistema está atualizado e seguro. Monitore os processos de atualização de rotina para verificar se eles são concluídos conforme o planejado. Um processo de aplicação de patch de segurança que não esteja concluído deve ser considerado uma vulnerabilidade. Você também deve manter um inventário que registre os níveis de patch e quaisquer outros detalhes necessários.
A detecção de alterações também se aplica ao sistema operacional. Isso envolve o acompanhamento se os serviços estão adicionados ou desativados. Isso também inclui monitoramento da adição de novos usuários ao sistema. Existem ferramentas projetadas tendo um sistema operacional como destino. Elas ajudam no monitoramento sem contexto, no sentido de que não têm a funcionalidade da carga de trabalho como destino. Por exemplo, o monitoramento da integridade do arquivo é uma ferramenta crítica que permite a você rastrear alterações feitas em arquivos do sistema.
Você deverá configurar alertas para essas alterações, especialmente se não esperar que elas ocorram com frequência.
Importante
Ao distribuir para produção, verifique se os alertas estão configurados para detectar uma atividade anômala presente nos recursos de aplicativo e no processo de compilação.
Nos planos de teste, inclua a validação do registro em log e o alerta como casos de teste priorizados.
Armazenar, agregar e analisar dados
Os dados coletados dessas atividades de monitoramento devem ser armazenados em coletores de dados onde possam ser cuidadosamente examinados, normalizados e correlacionados. Os dados de segurança devem ser mantidos fora dos armazenamentos de dados do próprio sistema. Os coletores de monitoramento, sejam eles localizados ou centrais, devem se sobrepor a fontes de dados. Os coletores não podem ser efêmeros porque são a fonte dos sistemas de detecção de intrusão.
Os logs de rede podem ser detalhados e ocupar o armazenamento. Explore diferentes níveis em sistemas de armazenamento. Os logs podem fazer naturalmente a transição para um armazenamento mais frio com o passar do tempo. Essa abordagem é benéfica porque os logs de fluxo mais anteriores normalmente não são usados ativamente e só são necessários sob demanda. Esse método garante um gerenciamento de armazenamento eficiente e, ao mesmo tempo, garante que você possa acessar dados históricos quando precisar.
Os fluxos da carga de trabalho costumam ser uma composição de várias fontes de registro em log. Os dados de monitoramento devem ser analisados de maneira inteligente em todas essas fontes. Por exemplo, o firewall só vai bloquear o tráfego que chegar até ele. Se você tiver um grupo de segurança de rede que já tenha bloqueado um determinado tráfego, esse tráfego não permanecerá visível para o firewall. Para reconstruir a sequência de eventos, você precisa agregar dados de todos os componentes que estejam no fluxo e, em seguida, agregar dados de todos os fluxos. Esses dados são especialmente úteis em um cenário de resposta pós-incidente, quando você está tentando compreender o que aconteceu. Uma cronometragem precisa é algo essencial. Para fins de segurança, todos os sistemas precisam usar uma fonte de tempo de rede, de maneira que permaneçam sempre sincronizados.
Detecção de ameaça centralizada com logs correlacionados
Você pode usar um sistema como o gerenciamento de eventos e informações de segurança (SIEM) para consolidar dados de segurança em um local central, no qual eles podem ser correlacionados entre serviços variados. Esses sistemas têm mecanismos de detecção de ameaça internos. Eles podem se conectar a feeds externos para obter dados de inteligência contra ameaças. Microsoft, por exemplo, publica dados de inteligência de ameaças que você pode usar. Você também pode comprar feeds de inteligência contra ameaças de outros provedores, como Anomali e FireEye. Esses feeds podem oferecer insights valiosos e aprimorar a postura de segurança. Para obter informações sobre ameaças do Microsoft, consulte o Security Insider.
Um sistema SIEM pode gerar alertas com base em dados correlacionados e normalizados. Esses alertas são um recurso significativo durante um processo de resposta a incidentes.
Os sistemas SIEM normalmente são gerenciados pelas equipes centrais de uma organização. Se a organização não tiver uma, leve em consideração a contratação. Isso pode aliviar a carga da análise de log manual e a correlação para permitir um gerenciamento de segurança mais eficiente e eficaz.
Algumas opções econômicas são fornecidas por Microsoft. Muitos produtos Defender fornecem a funcionalidade de alerta de um sistema SIEM, mas sem um recurso de agregação de dados. Microsoft
Integrando diversas ferramentas menores, você pode emular algumas funções de um sistema SIEM. No entanto, você precisa saber que essas soluções improvisadas talvez não sejam capazes de realizar uma análise de correlação. Essas alternativas podem ser úteis, embora talvez não substituam totalmente a funcionalidade de um sistema SIEM dedicado.
Detectar abuso
Seja proativo na detecção de ameaças e fique atento a sinais de abuso, como ataques de força bruta de identidade em um componente SSH ou um ponto de extremidade RDP. Embora as ameaças externas possam gerar muito ruído, especialmente se o aplicativo estiver exposto à internet, as ameaças internas normalmente são uma preocupação maior. Um ataque de força bruta inesperado de uma fonte de rede confiável ou uma configuração incorreta inadvertida, por exemplo, deve ser investigada imediatamente.
Continue as práticas de proteção. O monitoramento não substitui a proteção proativa do ambiente. Uma área de superfície maior é propensa a mais ataques. Aperte os controles tanto quanto os coloca em prática. Detecte e desabilite contas não usadas, use um firewall de IP e bloqueie pontos de extremidade não exigidos com políticas de Prevenção contra perda de dados, por exemplo.
A detecção baseada em assinatura pode inspecionar um sistema em detalhes. Ela envolve a procura de sinais ou correlações entre atividades que possam indicar um ataque em potencial. Um mecanismo de detecção pode identificar determinadas características indicativas de um tipo de ataque específico. Nem sempre é possível detectar diretamente o mecanismo de comando e controle de um ataque. No entanto, muitas vezes há dicas ou padrões associados a um determinado processo de comando e controle. Por exemplo, um ataque pode ser indicado por uma determinada taxa de fluxo de uma perspectiva de solicitação ou pode acessar com frequência domínios com terminações específicas.
Detecte padrões de acesso do usuário anômalos, de maneira que você possa identificar e investigar desvios em relação a padrões esperados. Isso envolve a comparação do comportamento atual do usuário com o comportamento anterior para detectar anomalias. Embora possa não ser viável realizar essa tarefa manualmente, você pode usar ferramentas de inteligência contra ameaças para fazer isso. Invista em ferramentas de Análise comportamental de usuários e entidades (UEBA) que coletem o comportamento do usuário a partir de dados de monitoramento e o analisem. Essas ferramentas normalmente podem realizar uma análise preditiva que mapeia comportamentos suspeitos para tipos de ataque em potencial.
Detecte ameaças durante os estágios de pré e pós-implantação. Durante a fase de pré-implantação, incorpore a verificação de vulnerabilidade aos pipelines e tome as medidas necessárias com base nos resultados. Depois da implantação, continue realizando a verificação de vulnerabilidades. Você pode usar ferramentas como o Microsoft Defender for Containers, que verifica imagens de contêineres. Inclua os resultados nos dados coletados. Para obter informações sobre práticas de desenvolvimento seguras, consulte Recomendações para práticas de implantação segura.
Facilitação do Power Platform
As seções a seguir descrevem os mecanismos que você pode usar para monitorar e detectar ameaças no Power Platform.
Microsoft Sentinela
Microsoft A solução Sentinel permite que os clientes detectem diversas atividades suspeitas, incluindo: Microsoft Power Platform
- Execução do Power Apps em geografias não autorizadas
- Destruição de dados suspeitos por Power Apps
- Exclusão em massa do Power Apps
- Ataques de phishing feitos por meio do Power Apps
- Atividade de fluxos do Power Automate por funcionários de saída
- Conectores do Microsoft Power Platform adicionados a um ambiente
- Atualização ou remoção das políticas de prevenção contra perdas de dados do Microsoft Power Platform
Para obter mais informações, consulte Microsoft Visão geral da solução Sentinel Microsoft Power Platform .
Microsoft Registro de atividades do Purview
Power Apps, Power Automate, Conectores, Dados prevenção contra perdas e Power Platform registro de atividades administrativas são rastreados e visualizados no Microsoft portal de conformidade do Purview.
Para obter mais informações, consulte:
- Power Apps registro de atividade
- Power Automate registro de atividade
- Copilot Studio registro de atividade
- Power Pages registro de atividade
- Power Platform registro de atividade do conector
- Registro de atividade de dados prevenção contra perdas
- Power Platform registro de atividades de ações administrativas
- Microsoft Dataverse e registro de atividades de aplicativos orientados a modelos
Auditoria do Dataverse
A auditoria do banco de dados registra alterações feitas em registros do cliente em um ambiente com um banco de dados do Dataverse. A auditoria do Dataverse também registra o acesso do usuário por meio de um aplicativo ou do SDK em um ambiente. Essa auditoria é habilitada no nível do ambiente, e a configuração adicional é necessária para tabelas e colunas individuais. Para obter mais informações, consulte Gerenciar auditoria do Dataverse.
Analisar a telemetria com o Application Insights
O Application Insights, um recurso do Azure Monitor, é amplamente usado no cenário corporativo para monitoramento e diagnóstico. Os dados que já foram coletados de um locatário ou ambiente específico são enviados para o seu ambiente no Application Insights. Os dados são armazenados em logs do Azure Monitor pelo Application Insights, e visualizados em painéis de Desempenho e Falhas em Investigar no painel esquerdo. Os dados são exportados para o seu ambiente no Application Insights no esquema padrão definido pelo Application Insights. As personas de suporte, desenvolvedor e administrador podem usar esse recurso para fazer a triagem e resolver problemas.
Também convém:
- Configurar um ambiente do Application Insights para receber telemetria de diagnóstico e desempenho capturados pela plataforma do Dataverse.
- Assinar para receber telemetria sobre operações realizadas pelos aplicativos no banco de dados do Dataverse e em aplicativos baseados em modelo. Essa telemetria fornece informações que é possível usar para realizar o diagnóstico e solucionar problemas relacionados aos erros e ao desempenho.
- Configurar fluxos da nuvem do Power Automate a serem integrados ao Application Insights.
- Gravar eventos e atividades de aplicativos de tela do Power Apps no Application Insights.
Para obter mais informações, consulte Visão geral da integração com o Application Insights.
Identidade
Monitore eventos de risco relacionados à identidade em identidades potencialmente comprometidas e corrija esses riscos. Revise os eventos de risco relatados destas formas:
Use o relatório de ID do Microsoft Entra. Para obter mais informações, consulte O que é Identity Protection? e Identity Protection.
Use os membros da API de detecção de risco do Identity Protection para obter acesso programático às detecções de segurança via Microsoft Graph. Para obter mais informações, consulte riskDetection e riskyUser.
A ID do Microsoft Entra usa algoritmos de aprendizado de máquina adaptáveis, heurística e credenciais reconhecidamente comprometidas (pares de nome de usuário e senha) a fim de detectar ações suspeitas relacionadas às contas de usuário. Esses pares de nome de usuário e senha são descobertos por meio do monitoramento da dark web e da web pública e do trabalho com pesquisadores de segurança, autoridades policiais, equipes de segurança em Microsoft e outros.
Azure Pipelines
O DevOps defende o gerenciamento de alterações feitas nas cargas de trabalho por meio da integração contínua e entrega contínua (CI/CD). Não se esqueça de adicionar a validação de segurança nos pipelines. Siga as orientações descritas em Proteção do Azure Pipelines.
Informações relacionadas
- O que é o Sentinel? Microsoft
- Integração de inteligência de ameaças no Sentinel Microsoft
- Identifique ameaças avançadas com o User and Entity Behavior Analytics (UEBA) no Sentinel Microsoft
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.