Recomendações para a monitorização e deteção de ameaças
Aplica-se a esta Power Platform recomendação de lista de verificação de segurança bem arquitetada:
| SE:08 | Implemente uma estratégia de monitorização holística que se baseie em mecanismos modernos de deteção de ameaças que possam ser integrados com a plataforma. Os mecanismos devem alertar de forma fiável para a triagem e enviar sinais para os processos SecOps existentes. |
|---|
Este guia descreve as recomendações para a monitorização e deteção de ameaças. A monitorização é fundamentalmente um processo de obtenção de informações sobre eventos que já ocorreram. A monitorização de segurança é uma prática de captura de informações em diferentes altitudes da carga de trabalho (identidade, fluxos, aplicação, operações) para ganhar consciência de atividades suspeitas. O objetivo é prever incidentes e aprender com os eventos passados. Os dados de monitorização fornecem a base da análise pós-incidente do que ocorreu para ajudar na resposta a incidentes e nas investigações forenses.
O monitoramento é uma abordagem de Excelência Operacional aplicada em todos os Power Platform pilares da Well-Architected. Este guia fornece recomendações apenas numa perspetiva de segurança. Os conceitos gerais de monitorização são abordados nas Recomendações para a estruturação e criação de um sistema de monitorização.
Definições
| Termo | Definição |
|---|---|
| Registos de auditoria | Um resumo das atividades de um sistema. |
| Gestão de Informações e Eventos de Segurança (SIEM) | Uma abordagem que utiliza capacidades integradas de deteção de ameaças e inteligência com base em dados agregados a partir de várias origens. |
| Deteção de ameaças | Uma estratégia para detetar desvios das ações esperadas através da utilização de dados recolhidos, analisados e correlacionados. |
| Informações sobre ameaças | Uma estratégia para interpretar dados de deteção de ameaças para detetar atividades suspeitas ou ameaças examinando padrões. |
| Prevenção de ameaças | Controlos de segurança que são colocados numa carga de trabalho a várias altitudes para proteger os seus ativos. |
Principais estratégias de design
O principal objetivo da monitorização de segurança é a deteção de ameaças. O objetivo principal é prevenir potenciais violações de segurança e manter um ambiente seguro. No entanto, é igualmente importante reconhecer que nem todas as ameaças podem ser bloqueadas preventivamente. Nesses casos, a monitorização também serve como um mecanismo para identificar a causa de um incidente de segurança que ocorreu apesar dos esforços de prevenção.
A monitorização pode ser abordada a partir de várias perspetivas:
Monitorize a várias altitudes. A observação a partir de várias altitudes é o processo de obtenção de informações sobre fluxos de utilizadores, acesso a dados, identidade, rede e até mesmo sobre o sistema operativo. Cada uma dessas áreas oferece informações exclusivas que podem ajudá-lo a identificar desvios dos comportamentos esperados estabelecidos em relação à linha de base de segurança. Por outro lado, monitorizar continuamente um sistema e aplicações ao longo do tempo pode ajudar a estabelecer esta postura de linha de base. Por exemplo, normalmente poderá ver cerca de 1000 tentativas de início de sessão no seu sistema de identidade por hora. Se a monitorização detetar um pico de 50.000 tentativas de início de sessão durante um curto período, um atacante pode estar a tentar obter acesso ao seu sistema.
Monitorize em vários âmbitos de impacto. É fundamental observar a aplicação e a plataforma. Suponha que um utilizador da aplicação obtém acidentalmente privilégios de escalamento ou ocorre uma violação de segurança. Se o utilizador efetuar ações para além do âmbito designado, o impacto poderá limitar-se às ações que os outros utilizadores podem executar.
No entanto, se uma entidade interna comprometer uma base de dados, a extensão dos potenciais danos é incerta.
O raio do evento ou o âmbito de impacto pode ser significativamente diferente, dependendo de qual desses cenários ocorre.
Utilize ferramentas de monitorização especializadas. É fundamental investir em ferramentas especializadas que possam verificar continuamente se há comportamentos anómalos que possam indicar um ataque. A maioria dessas ferramentas tem capacidades de informações sobre ameaças que podem realizar análises preditivas com base num grande volume de dados e ameaças conhecidas. A maioria das ferramentas não são sem estado e incorporam um conhecimento profundo de telemetria num contexto de segurança.
As ferramentas precisam de ser integradas na plataforma ou, pelo menos, suportar a plataforma para obter sinais profundos da plataforma e fazer previsões com alta fidelidade. Devem ser capazes de gerar alertas em tempo útil com informações suficientes para realizar uma triagem adequada. A utilização de demasiadas ferramentas diversas pode levar à complexidade.
Utilize a monitorização para a resposta a incidentes. Dados agregados, transformados em inteligência acionável, permitem reações rápidas e eficazes a incidentes. A monitorização ajuda nas atividades pós-incidente. O objetivo é recolher dados suficientes para analisar e entender o que aconteceu. O processo de monitorização captura informações sobre eventos passados para melhorar as capacidades reativas e prever potencialmente incidentes futuros.
As secções seguintes fornecem práticas recomendadas que incorporam as perspetivas de monitorização anteriores.
Capturar dados para manter um registo das atividades
O objetivo é manter uma registo de auditoria abrangente de eventos que são significativos do ponto de vista da segurança. O registo é a forma mais comum de capturar padrões de acesso. O registo deve ser efetuado para a aplicação e para a plataforma.
Para um registo de auditoria, precisa de estabelecer o quê, quando e quem está associado às ações. Precisa de identificar os períodos de tempo específicos em que as ações são realizadas. Faça esta avaliação na sua modelação de ameaças. Para neutralizar uma ameaça de rejeição, deve estabelecer sistemas robustos de registo e auditoria que resultem num registo de atividades e transações.
As seguintes secções descrevem casos de utilização para algumas altitudes comuns de uma carga de trabalho.
Fluxos do utilizador da carga de trabalho
A sua carga de trabalho deve ser estruturada para fornecer visibilidade de runtime quando os eventos ocorrem. Identifique os pontos críticos dentro da sua carga de trabalho e estabeleça um registo para esses pontos. É importante reconhecer qualquer escalamento nos privilégios do utilizador, as ações realizadas pelo utilizador e se o utilizador acedeu a informações confidenciais num arquivo de dados seguro. Monitorize as atividades do utilizador e da sessão de utilizador.
Para facilitar este rastreio, o código deve ser instrumentado através de um registo estruturado. Ao fazê-lo, permite uma consulta e filtragem fácil e uniforme dos registos.
Importante
Tem de impor o registo responsável para manter a confidencialidade e a integridade do seu sistema. Os segredos e os dados confidenciais não devem aparecer nos registos. Esteja atento à fuga de dados pessoais e outros requisitos de conformidade quando captura estes dados de registo.
Monitorização de identidades e acessos
Mantenha um registo completo dos padrões de acesso à aplicação e das modificações aos recursos da plataforma. Tenha registos de atividade robustos e mecanismos de deteção de ameaças, particularmente para atividades relacionadas com identidade, porque os atacantes muitas vezes tentam manipular identidades para obter acesso não autorizado.
Implemente o registo abrangente utilizando todos os pontos de dados disponíveis. Por exemplo, inclua o endereço IP do cliente para diferenciar entre a atividade regular do utilizador e ameaças potenciais de locais inesperados. Todos os eventos de registo devem ter um carimbo de data/hora atribuído pelo servidor.
Registre todas as atividades de acesso a recursos, capturando quem está a fazer o quê e quando está a fazer. As instâncias de escalamento de privilégios são um ponto de dados significativo que deve ser registado. As ações relacionadas com a criação ou eliminação de contas pela aplicação também têm de ser registadas. Esta recomendação estende-se aos segredos da aplicação. Monitorize o acesso aos segredos e a sua rotação.
Apesar de ser importante registar ações bem-sucedidas, é necessário registar falhas do ponto de vista da segurança. Documente quaisquer violações, como um utilizador que tenta uma ação, mas encontra uma falha de autorização, tentativas de acesso a recursos inexistentes e outras ações que pareçam suspeitas.
Monitorização da rede
A sua estrutura de segmentação deve permitir pontos de observação nos limites para monitorizar o que os cruza e registar estes dados. Por exemplo, monitorize sub-redes com grupos de segurança de rede que geram registos de fluxo. Monitorize também os registos de firewall que mostram os fluxos que foram permitidos ou negados.
Existem registos de acesso para pedidos de ligação de entrada. Estes registos registam os endereços IP de origem que iniciam os pedidos, o tipo de pedido (GET, POST) e todas as outras informações que fazem parte dos pedidos.
A captura de fluxos de DNS é um requisito significativo para muitas organizações. Por exemplo, os registos DNS podem ajudar a identificar qual utilizador ou dispositivo iniciou uma consulta DNS específica. Ao correlacionar a atividade do DNS com os registos de autenticação de utilizadores/dispositivos, pode monitorizar as atividades para os clientes individuais. Esta responsabilidade geralmente estende-se à equipa da carga de trabalho, especialmente se implantarem algo que torna os pedidos DNS parte da sua operação. A análise do tráfego DNS é um aspeto essencial da observabilidade da segurança da plataforma.
É importante monitorizar pedidos DNS inesperados ou pedidos DNS direcionados para pontos finais de comando e controlo conhecidos.
Compensação: registrar todas as atividades da rede pode resultar em uma grande quantidade de dados. Infelizmente, não é possível capturar apenas eventos adversos porque eles só podem ser identificados depois que ocorrem. Tome decisões estratégicas sobre o tipo de eventos a capturar e por quanto tempo deve armazená-los. Se não tiver cuidado, a gestão dos dados pode ser uma tarefa esmagadora. Há também um compromisso no custo de armazenamento desses dados.
Capturar alterações do sistema
Para manter a integridade do sistema, deverá ter um registo preciso e atualizado do estado do sistema. Se existirem alterações, pode utilizar este registo para resolver prontamente quaisquer problemas que surjam.
Os processos de compilação também devem emitir telemetria. Compreender o contexto de segurança dos eventos é fundamental. Saber o que acionou o processo de compilação, quem o acionou e quando foi acionado pode fornecer informações valiosas.
Monitorize quando os recursos são criados e quando são desativados. Estas informações devem ser extraídas da plataforma. Estas informações fornecem conhecimentos valiosos para a gestão de recursos e responsabilização.
Monitorize o desvio na configuração de recursos. Documente qualquer alteração a um recurso existente. Monitorize também as alterações que não foram concluídas como parte de uma implementação para uma frota de recursos. Os registos têm de capturar as especificidades da alteração e a hora exata em que ocorreu.
Tenha uma visão abrangente, numa perspetiva de aplicação de patches, se o sistema está atualizado e seguro. Monitore os processos de atualização de rotina para verificar se eles são concluídos conforme planejado. Um processo de aplicação de patches de segurança que não seja concluído deve ser considerado uma vulnerabilidade. Também deve manter um inventário que registe os níveis de patch e quaisquer outros detalhes necessários.
A deteção de alterações também se aplica ao sistema operativo. Isto envolve monitorizar se os serviços são adicionados ou desativados. Inclui também a monitorização da adição de novos utilizadores ao sistema. Existem ferramentas que são estruturadas para um sistema operativo. Ajudam na monitorização sem contexto, no sentido em que não visam a funcionalidade da carga de trabalho. Por exemplo, a monitorização da integridade dos ficheiros é uma ferramenta crítica que permite rastrear alterações nos ficheiros do sistema.
Deve configurar alertas para estas alterações, especialmente se não espera que ocorram frequentemente.
Importante
Quando implementar a versão de produção, certifique-se de que os alertas estão configurados para capturar atividades anómalas detetadas nos recursos da aplicação e no processo de compilação.
Nos seus planos de teste, inclua a validação de registos e alertas como casos de teste prioritários.
Armazenar, agregar e analisar dados
Os dados recolhidos destas atividades de monitorização devem ser armazenados em sinks de dados onde possam ser rigorosamente examinados, normalizados e correlacionados. Os dados de segurança devem ser mantidos fora dos arquivos de dados do próprio sistema. Os sinks de monitorização, sejam eles localizados ou centrais, devem prevalecer às origens de dados. Os sinks não podem ser efémeros porque são a origem para os sistemas de deteção de intrusões.
Os registos de rede podem ser verbosos e ocupar armazenamento. Explore diferentes níveis em sistemas de armazenamento. Os registos podem transitar naturalmente para um armazenamento menos prioritário ao longo do tempo. Esta abordagem é benéfica porque os registos de fluxo mais antigos normalmente não são utilizados ativamente e só são necessários a pedido. Este método garante uma gestão eficiente do armazenamento e, ao mesmo tempo, assegura que possa aceder a dados históricos quando precisar.
Os fluxos da sua carga de trabalho são, normalmente, compostos por várias origens de registo. Os dados de monitorização devem ser analisados de forma inteligente em todas estas origens. Por exemplo, a sua firewall apenas bloqueará o tráfego que a atingir. Se tiver um grupo de segurança de rede que já bloqueou determinado tráfego, este tráfego não está visível para a firewall. Para reconstruir a sequência de eventos, é necessário agregar dados de todos os componentes que estão no fluxo e, em seguida, agregar dados de todos os fluxos. Estes dados são particularmente úteis num cenário de resposta pós-incidente quando está a tentar compreender o que aconteceu. A cronometragem precisa é essencial. Por motivos de segurança, todos os sistemas têm de utilizar uma origem de hora de rede para estarem sempre sincronizados.
Deteção centralizada de ameaças com registos correlacionados
Pode utilizar um sistema como o Gestão de Informações e Eventos de Segurança (SIEM) para consolidar dados de segurança numa localização central onde podem ser correlacionados entre vários serviços. Estes sistemas têm mecanismos integrados de deteção de ameaças. Podem ligar-se a feeds externos para obter dados de informações sobre ameaças. Microsoft, por exemplo, publica dados de inteligência de ameaças que você pode usar. Também pode comprar feeds de informações sobre ameaças de outros fornecedores, como Anomali e FireEye. Estes feeds podem fornecer informações valiosas e melhorar a sua postura de segurança. Para obter informações sobre ameaças Microsoft, consulte Security Insider.
Um sistema SIEM pode gerar alertas com base em dados correlacionados e normalizados. Estes alertas são um recurso significativo durante um processo de resposta a incidentes.
Os sistemas SIEM são normalmente geridos pelas equipas centrais de uma organização. Se a sua organização não tiver um, considere defender a sua aquisição. Poderia aliviar o fardo da análise manual de registos e da correlação para permitir uma gestão da segurança mais eficiente e eficaz.
Algumas opções rentáveis são fornecidas por Microsoft. Muitos Microsoft produtos Defender fornecem a funcionalidade de alerta de um sistema SIEM, mas sem um recurso de agregação de dados.
Ao combinar várias ferramentas menores, pode emular algumas funções de um sistema SIEM. No entanto, precisa de saber que estas soluções improvisadas podem não ser capazes de executar a análise de correlação. Estas alternativas podem ser úteis, mas podem não substituir totalmente a funcionalidade de um sistema SIEM dedicado.
Detetar abuso
Seja proativo na deteção de ameaças e esteja atento a sinais de abuso, como ataques de força bruta de identidade a um componente SSH ou a um ponto final RDP. Embora as ameaças externas possam gerar muito ruído, especialmente se a aplicação estiver exposta à Internet, as ameaças internas são muitas vezes uma preocupação maior. Por exemplo, um ataque inesperado de força bruta de uma origem da rede fiável ou um erro de configuração inadvertido, devem ser investigados imediatamente.
Mantenha as suas práticas de proteção atualizadas. A monitorização não substitui a proteção proativa do ambiente. Uma área de superfície maior é propensa a mais ataques. Aperte os controlos tanto como a prática. Detete e desative contas não utilizadas, utilize uma firewall de IP e bloqueie pontos finais que não são necessários com políticas de Prevenção de Perda de Dados, por exemplo.
A deteção baseada em assinatura pode inspecionar um sistema em detalhes. Envolve a procura de sinais ou correlações entre atividades que possam indicar um potencial ataque. Um mecanismo de deteção pode identificar certas características que são indicativas de um tipo específico de ataque. Nem sempre é possível detetar diretamente o mecanismo de comando e controlo de um ataque. No entanto, muitas vezes há sugestões ou padrões associados a um determinado processo de comando e controlo. Por exemplo, um ataque pode ser indicado por uma determinada taxa de fluxo na perspetiva de um pedido ou pode aceder frequentemente a domínios que têm terminações específicas.
Detete padrões de acesso de utilizador anómalos para que possa identificar e investigar desvios em relação aos padrões esperados. Isto envolve comparar o comportamento atual do utilizador com o comportamento passado para detetar anomalias. Embora possa não ser viável executar esta tarefa manualmente, pode utilizar ferramentas de informações sobre ameaças para o fazer. Invista em ferramentas de Análise Comportamental de Entidades e Utilizadores (UEBA) que recolhem o comportamento do utilizador a partir da monitorização de dados e o analisam. Estas ferramentas geralmente podem realizar análises preditivas que mapeiam comportamentos suspeitos para possíveis tipos de ataque.
Detete ameaças durante as fases de pré e pós-implementação. Durante a fase de pré-implementação, incorpore a análise de vulnerabilidades em pipelines e tome as ações necessárias com base nos resultados. Após a implementação, continue a realizar a análise de vulnerabilidades. Você pode usar ferramentas como Microsoft o Defender for Containers, que verifica imagens de contêineres. Inclua os resultados nos dados recolhidos. Para obter informações sobre práticas de desenvolvimento seguras, consulte Recomendações para práticas de implementação seguras.
Facilitação do Power Platform
As secções seguintes descrevem os mecanismos os quais pode utilizar para monitorizar e detetar ameaças no Power Platform.
Microsoft Sentinela
Microsoft A solução Sentinel for Microsoft Power Platform permite que os clientes detetem várias atividades suspeitas, incluindo:
- Execução do Power Apps a partir de localizações geográficas não autorizadas
- Destruição de dados suspeitos pelo Power Apps
- Eliminação em massa do Power Apps
- Ataques de phishing efetuados através do Power Apps
- Atividade de fluxos do Power Automate por colaboradores de saída
- Conectores do Microsoft Power Platform adicionados a um ambiente
- Atualização ou remoção de políticas de prevenção de perda de dados do Microsoft Power Platform
Para obter mais informações, consulte Microsoft Solução Sentinel para Microsoft Power Platform obter uma visão geral.
Microsoft Registro de atividades do Purview
Power Apps, Power Automate, Conectores, Prevenção de perda de dados e Power Platform registro de atividades administrativas são rastreados e visualizados no Microsoft portal de conformidade Purview.
Para mais informações, consulte:
- Power Apps registro de atividades
- Power Automate registro de atividades
- Copilot Studio registro de atividades
- Power Pages registro de atividades
- Power Platform registro de atividades do conector
- Registro de atividades de prevenção de perda de dados
- Power Platform registro de atividades de ações administrativas
- Microsoft Dataverse e registro de atividades de aplicativos orientados por modelo
Auditoria do Dataverse
Alterações a registos de auditoria da base de dados feitas a registos de clientes num ambiente com uma base de dados do Dataverse. A auditoria do Dataverse também regista o acesso de utilizador através de uma aplicação ou através do SDK num ambiente. Esta auditoria está ativada ao nível do ambiente e é necessária uma configuração adicional para as tabelas e colunas individuais. Para mais informações, consulte Gerir a auditoria do Dataverse.
Analisar a telemetria com o Application Insights
Application Insights, uma funcionalidade do Azure Monitor, é amplamente utilizado no panorama empresarial para monitorização e diagnóstico. Os dados que já foram recolhidos de um inquilino ou ambiente específico são empurrados para o seu próprio ambiente Application Insights. Os dados são armazenados em registos do Azure Monitor pelo Application Insights e visualizados nos painéis de Desempenho e Falhas sob Investigar no painel esquerdo. Os dados são exportados para o seu ambiente Application Insights no esquema padrão definido pelo Application Insights. As personas de suporte, programador e admin podem usar esta funcionalidade para triagem e resolver problemas.
Também poderá:
- Configurar um ambiente do Application Insights para receber telemetria em diagnósticos e desempenho capturados pela plataforma do Dataverse.
- Subscrever a receção de telemetria sobre as operações que as aplicações realizam na sua base de dados do Dataverse e dentro de aplicações condicionadas por modelo. Esta telemetria fornece informações que pode usar para diagnosticar e resolver problemas relacionados com erros e desempenho.
- Configurar fluxos de cloud do Power Automate para integrar com o Application Insights.
- Escrever eventos e atividades de aplicações de tela do Power Apps para o Application Insights.
Para obter mais informações, consulte Descrição geral da integração com o Application Insights.
Identidade
Monitore eventos de risco relacionados com a identidade em identidades potencialmente comprometidas e corrija estes riscos. Reveja os eventos de risco comunicados das seguintes formas:
Utilize relatórios do Microsoft Entra ID. Para obter mais informações, consulte O que é o Identity Protection? e Identity Protection.
Use os membros da API de deteção de risco do Identity Protection para obter acesso programático às deteções de segurança via Microsoft Graph. Para obter mais informações, consulte riskDetection e riskyUser.
O Microsoft Entra ID utiliza algoritmos de aprendizagem automática adaptável, heurística e credenciais comprometidas conhecidas (pares de nome de utilizador e palavra-passe) para detetar ações suspeitas relacionadas com as suas contas de utilizador. Esses pares de nome de utente e senha são revelados monitorando a rede pública e a dark web e trabalhando com pesquisadores de segurança, autoridades policiais, equipes de segurança e Microsoft outros.
Pipelines do Azure
O DevOps defende a gestão de alterações de cargas de trabalho através da integração contínua e entrega contínua (CI/CD). Certifique-se de que adiciona validação de segurança nos pipelines. Siga as orientações descritas em Proteger os Pipelines do Azure.
Informações relacionadas
- O que é o Microsoft Sentinel?
- Integração de informações sobre ameaças no Microsoft Sentinel
- Identifique ameaças avançadas com a Análise de Comportamento de Usuários e Entidades (UEBA) no Microsoft Sentinel
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.