Alertas e incidentes de segurança
Este artigo descreve alertas e notificações de segurança no Microsoft Defender for Cloud.
O que são alertas de segurança?
Os alertas de segurança são as notificações geradas pelos planos de proteção da carga de trabalho do Defender for Cloud quando são identificadas ameaças nos seus ambientes Azure, híbridos ou multicloud.
- Os alertas de segurança são acionados por deteções avançadas disponíveis quando você habilita os planos do Defender para tipos de recursos específicos.
- Cada alerta fornece detalhes dos recursos, problemas e etapas de correção afetados.
- O Defender for Cloud classifica os alertas e os prioriza por gravidade.
- Os alertas são exibidos no portal por 90 dias, mesmo que o recurso relacionado ao alerta tenha sido excluído durante esse período. Isso ocorre porque o alerta pode indicar uma possível violação à sua organização que precisa ser investigada mais a fundo.
- Os alertas podem ser exportados para o formato CSV.
- Os alertas também podem ser transmitidos diretamente para uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel, o SOAR (Security Orchestration Automated Response) ou o ITSM (Gerenciamento de Serviços de TI).
- O Defender for Cloud aproveita a Matriz de Ataque MITRE para associar alertas à sua intenção percebida, ajudando a formalizar o conhecimento do domínio de segurança.
Como são classificados os alertas?
Os alertas têm um nível de gravidade atribuído para ajudar a priorizar como atender a cada alerta. A gravidade baseia-se em:
- O fator de desencadeamento específico
- O nível de confiança de que houve intenção maliciosa por trás da atividade que levou ao alerta
Gravidade | Resposta recomendada |
---|---|
Alto | Há uma alta probabilidade de que seu recurso esteja comprometido. Você deve analisá-lo imediatamente. O Defender for Cloud tem alta confiança tanto na intenção maliciosa quanto nas descobertas usadas para emitir o alerta. Por exemplo, um alerta que deteta a execução de uma ferramenta maliciosa conhecida, como o Mimikatz, uma ferramenta comum usada para roubo de credenciais. |
Medium | Esta é provavelmente uma atividade suspeita pode indicar que um recurso está comprometido. A confiança do Defender for Cloud na análise ou descoberta é média e a confiança da intenção maliciosa é média a alta. Normalmente, estas seriam deteções baseadas em aprendizagem automática ou anomalias, por exemplo, uma tentativa de início de sessão a partir de uma localização invulgar. |
Baixo | Este pode ser um ataque benigno positivo ou bloqueado. O Defender for Cloud não está confiante o suficiente de que a intenção é maliciosa e que a atividade pode ser inocente. Por exemplo, log clear é uma ação que pode acontecer quando um invasor tenta ocultar seus rastros, mas em muitos casos é uma operação de rotina executada por administradores. O Defender for Cloud geralmente não informa quando os ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você analise. |
Informativo | Um incidente é normalmente composto por uma série de alertas, alguns dos quais podem parecer por si só apenas informativos, mas no contexto dos outros alertas podem ser dignos de uma análise mais atenta. |
O que são incidentes de segurança?
Um incidente de segurança é uma coleção de alertas relacionados.
Os incidentes fornecem uma visão única de um ataque e seus alertas relacionados, para que você possa entender rapidamente as ações que um invasor tomou e os recursos afetados.
À medida que o fôlego da cobertura de ameaças cresce, cresce também a necessidade de detetar o menor comprometimento. É um desafio para os analistas de segurança triar diferentes alertas e identificar um ataque real. Ao correlacionar alertas e sinais de baixa fidelidade em incidentes de segurança, o Defender for Cloud ajuda os analistas a lidar com essa fadiga de alerta.
Na nuvem, os ataques podem ocorrer em diferentes locatários, o Defender for Cloud pode combinar algoritmos de IA para analisar sequências de ataque que são relatadas em cada assinatura do Azure. Esta técnica identifica as sequências de ataque como padrões de alerta predominantes, em vez de serem apenas associadas incidentalmente umas às outras.
Durante uma investigação de um incidente, os analistas muitas vezes precisam de contexto extra para chegar a um veredicto sobre a natureza da ameaça e como mitigá-la. Por exemplo, mesmo quando uma anomalia de rede é detetada, sem entender o que mais está acontecendo na rede ou em relação ao recurso alvo, é difícil entender quais ações tomar em seguida. Para ajudar, um incidente de segurança pode incluir artefatos, eventos relacionados e informações. As informações adicionais disponíveis para incidentes de segurança variam, dependendo do tipo de ameaça detetada e da configuração do seu ambiente.
Correlacione alertas em incidentes
O Defender for Cloud correlaciona alertas e sinais contextuais em incidentes.
- A correlação analisa diferentes sinais entre recursos e combina conhecimento de segurança e IA para analisar alertas, descobrindo novos padrões de ataque à medida que ocorrem.
- Ao usar as informações coletadas para cada etapa de um ataque, o Defender for Cloud também pode excluir atividades que parecem ser etapas de um ataque, mas na verdade não são.
Gorjeta
Na referência de incidentes, revise a lista de incidentes de segurança que podem ser produzidos por correlação de incidentes.
Como o Defender for Cloud deteta ameaças?
Para detetar ameaças reais e reduzir falsos positivos, o Defender for Cloud monitora recursos, coleta e analisa dados em busca de ameaças, muitas vezes correlacionando dados de várias fontes.
Iniciativas da Microsoft
O Microsoft Defender for Cloud se beneficia de ter equipes de pesquisa de segurança e ciência de dados em toda a Microsoft que monitoram continuamente as mudanças no cenário de ameaças. Isto inclui as seguintes iniciativas:
Especialistas de segurança da Microsoft: existe um envolvimento contínuo com equipas da Microsoft que trabalham em campos de segurança especializados, tal como a deteção de ataques da Web e forense.
Pesquisa de segurança da Microsoft: Nossos pesquisadores estão constantemente atentos a ameaças. Devido à nossa presença global na nuvem e no local, temos acesso a um amplo conjunto de telemetria. A ampla e diversificada coleção de conjuntos de dados nos permite descobrir novos padrões e tendências de ataque em nossos produtos empresariais e de consumo locais, bem como em nossos serviços on-line. Como resultado, o Defender for Cloud pode atualizar rapidamente seus algoritmos de deteção à medida que os invasores lançam exploits novos e cada vez mais sofisticados. Esta abordagem ajuda-o a estar a par do ritmo dinâmico dos ambientes de ameaças.
Monitoramento de informações sobre ameaças: a inteligência de ameaças inclui mecanismos, indicadores, implicações e conselhos acionáveis sobre ameaças existentes ou emergentes. Esta informação é partilhada na comunidade de segurança e a Microsoft monitoriza continuamente os feeds de informações sobre ameaças de origens internas e externas.
Compartilhamento de sinais: as informações das equipes de segurança em todo o amplo portfólio da Microsoft de serviços locais e na nuvem, servidores e dispositivos de ponto final do cliente são compartilhadas e analisadas.
Otimização da deteção: os algoritmos são executados em conjuntos de dados de clientes reais e os investigadores de segurança trabalham com os clientes para validar os resultados. Os verdadeiros e falsos positivos são utilizados para refinar os algoritmos do machine learning.
Esses esforços combinados culminam em deteções novas e aprimoradas, das quais você pode se beneficiar instantaneamente – não há nenhuma ação a ser tomada.
Análise de segurança
O Defender for Cloud emprega análises de segurança avançadas, que vão muito além das abordagens baseadas em assinaturas. Os avanços nas tecnologias de macrodados e machine learning são aproveitados para avaliar eventos em toda a nuvem, o que permite a deteção de ameaças que seriam impossíveis de identificar através da utilização de abordagens manuais e a previsão da evolução de ataques. Estas análises de segurança incluem:
Informações sobre ameaças integradas
A Microsoft tem uma grande quantidade de informações sobre ameaças globais. A telemetria flui de várias fontes, como Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC). Os pesquisadores também recebem informações de inteligência de ameaças que são compartilhadas entre os principais provedores de serviços de nuvem e feeds de terceiros. O Microsoft Defender for Cloud pode usar essas informações para alertá-lo sobre ameaças de agentes mal-intencionados conhecidos.
Análise comportamental
A análise comportamental é uma técnica que analisa e compara os dados para uma coleção de padrões conhecidos. No entanto, estes padrões não são simples assinaturas. São determinados através de algoritmos complexos de machine learning aplicados a conjuntos de dados gigantescos. Também são determinados através de uma análise cuidada de comportamentos maliciosos pelos analistas especialistas. O Microsoft Defender for Cloud pode usar a análise comportamental para identificar recursos comprometidos com base na análise de logs de máquinas virtuais, logs de dispositivos de rede virtual, logs de malha e outras fontes.
Deteção de anomalias
O Defender for Cloud também usa a deteção de anomalias para identificar ameaças. Em contraste com a análise comportamental que depende de padrões conhecidos derivados de grandes conjuntos de dados, a deteção de anomalias é mais "personalizada" e se concentra em linhas de base específicas para suas implantações. O machine Learning é utilizado para determinar a atividade normal das suas implementações e, em seguida, são geradas regras para definir condições de valores atípicos que podem representar um evento de segurança.
Exportar alertas
Você tem uma variedade de opções para visualizar seus alertas fora do Defender for Cloud, incluindo:
- O relatório CSV de download no painel de alertas fornece uma exportação única para CSV.
- A exportação contínua das configurações do Ambiente permite configurar fluxos de alertas de segurança e recomendações para espaços de trabalho do Log Analytics e Hubs de Eventos. Mais informações.
- O conector Microsoft Sentinel transmite alertas de segurança do Microsoft Defender for Cloud para o Microsoft Sentinel. Mais informações.
Saiba mais sobre o streaming de alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI e como exportar dados continuamente.
Próximos passos
Neste artigo, você aprendeu sobre os diferentes tipos de alertas disponíveis no Defender for Cloud. Para obter mais informações, consulte:
- Alertas de segurança no log de atividades do Azure - Além de estarem disponíveis no portal do Azure ou programaticamente, os alertas e incidentes de segurança são auditados como eventos no Log de Atividades do Azure
- Tabela de referência de alertas do Defender for Cloud
- Responder a alertas de segurança
- Saiba como gerenciar incidentes de segurança no Defender for Cloud.