Compreender os alertas de segurança
No Microsoft Defender for Cloud, existem vários alertas para muitos tipos de recursos diferentes. O Defender for Cloud gera alertas para recursos implantados no Azure e para recursos implantados em ambientes de nuvem local e híbrida. Os alertas de segurança são acionados por deteções avançadas e estão disponíveis apenas com o Defender for Cloud.
Responda às ameaças atuais
Nos últimos 20 anos, ocorreram alterações significativas no campo das ameaças. No passado, as empresas normalmente só tinham que se preocupar com a desfiguração do site por atacantes individuais que estavam principalmente interessados em ver "o que eles poderiam fazer". Os atacantes de hoje são muito mais sofisticados e organizados. Têm, muitas vezes, objetivos financeiros e estratégicos específicos. Dispõem também de mais recursos, uma vez que podem ser financiados pelos Estados-nação ou pelo crime organizado.
Estas realidades em mudança levaram a um nível sem precedentes de profissionalismo nas fileiras atacantes. Já não estão interessados na desfiguração dos sites. Eles agora estão interessados em roubar informações, contas financeiras e dados privados – todos os quais eles podem usar para gerar dinheiro no mercado aberto ou usar uma determinada posição comercial, política ou militar. Ainda mais preocupantes do que aqueles atacantes com um objetivo financeiro são aqueles que violam as redes para prejudicar a infraestrutura e as pessoas.
Em resposta, as organizações geralmente implantam várias soluções pontuais focadas na defesa do perímetro corporativo ou dos endpoints procurando assinaturas de ataque conhecidas. Estas soluções têm tendência a gerar um grande volume de alertas de baixa fidelidade, o que requer que um analista de segurança faça uma triagem e investigue. A maioria das organizações não tem o tempo e os conhecimentos necessários para responder a estes alertas e muitos deles não são sequer abordados.
Além disso, os atacantes evoluíram seus métodos para subverter muitas defesas baseadas em assinatura e se adaptar a ambientes de nuvem. São necessárias novas abordagem para identificar ameaças emergentes mais rapidamente e agilizar a deteção e a resposta.
O que são alertas e incidentes de segurança?
Os alertas são as notificações que o Defender para a Cloud gera quando deteta ameaças nos recursos. O Defender for Cloud prioriza e lista os alertas, juntamente com as informações necessárias para que você investigue rapidamente o problema. O Defender for Cloud também fornece recomendações sobre como remediar um ataque.
Um incidente de segurança é uma coleção de alertas relacionados em vez de listar cada alerta individualmente. O Defender for Cloud usa o Cloud Smart Alert Correlation para correlacionar diferentes alertas e sinais de baixa fidelidade em incidentes de segurança.
Com incidentes de segurança, o Defender for Cloud fornece uma visão única de uma campanha de ataque e todos os alertas relacionados. Essa exibição permite que você entenda rapidamente quais ações o invasor tomou e quais recursos foram afetados. Para obter mais informações, consulte Correlação de alertas inteligentes na nuvem.
Como o Defender for Cloud deteta ameaças?
Os investigadores de segurança da Microsoft estão constantemente atentos a ameaças. Devido à nossa presença global na nuvem e no local, temos acesso a um amplo conjunto de telemetria. A ampla e diversificada coleção de conjuntos de dados nos permite descobrir novos padrões e tendências de ataque em nossos produtos empresariais e de consumo locais, bem como em nossos serviços on-line. Como resultado, o Defender for Cloud pode atualizar rapidamente seus algoritmos de deteção à medida que os invasores lançam exploits novos e cada vez mais sofisticados. Essa abordagem ajuda você a acompanhar o ritmo de um ambiente de ameaças em rápida evolução.
Para detetar ameaças reais e reduzir falsos positivos, o Defender for Cloud coleta, analisa e integra dados de log de seus recursos do Azure e da rede. Ele também funciona com soluções de parceiros conectados, como soluções de firewall e proteção de endpoint. O Defender for Cloud analisa essas informações, muitas vezes correlacionando informações de várias fontes, para identificar ameaças.
O Defender for Cloud emprega análises de segurança avançadas, que vão muito além das abordagens baseadas em assinaturas. Os avanços em tecnologias de big data e aprendizado de máquina são usados para avaliar eventos em toda a malha da nuvem – detetando ameaças que seriam impossíveis de identificar usando abordagens manuais e prevendo a evolução dos ataques. Estas análises de segurança incluem:
Inteligência integrada contra ameaças: a Microsoft tem uma imensa quantidade de inteligência global sobre ameaças. A telemetria flui de várias fontes, como Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC). Os pesquisadores também recebem informações de inteligência de ameaças compartilhadas entre os principais provedores de serviços de nuvem e feeds de terceiros. O Defender for Cloud pode usar essas informações para alertá-lo sobre ameaças de agentes mal-intencionados conhecidos.
Análise comportamental: A análise comportamental é uma técnica que analisa e compara dados com uma coleção de padrões conhecidos. No entanto, esses padrões não são assinaturas simples. Eles são determinados por meio de algoritmos complexos de aprendizado de máquina que são aplicados a conjuntos de dados massivos. Eles também são determinados através da análise cuidadosa de comportamentos maliciosos por analistas especializados. O Defender for Cloud pode usar a análise comportamental para identificar recursos comprometidos com base na análise de logs de máquinas virtuais, logs de dispositivos de rede virtual, logs de malha e outras fontes.
Deteção de anomalias: o Defender for Cloud também usa a deteção de anomalias para identificar ameaças. Em contraste com a análise comportamental (que depende de padrões conhecidos derivados de grandes conjuntos de dados), a deteção de anomalias é mais "personalizada" e se concentra em linhas de base específicas para suas implantações. O aprendizado de máquina é aplicado para determinar a atividade normal de suas implantações. Em seguida, as regras são geradas para definir condições atípicas que podem representar um evento de segurança.
Como são classificados os alertas?
O Defender for Cloud atribui uma severidade aos alertas para ajudá-lo a priorizar a ordem em que você responde a cada alerta, para que, quando um recurso for comprometido, você possa acessá-lo imediatamente. A gravidade é baseada em quão confiante o Defender for Cloud está na descoberta, ou no analítico usado para emitir o alerta, e no nível de confiança de que houve intenção maliciosa por trás da atividade que levou ao alerta.
Alta: há uma alta probabilidade de que seu recurso esteja comprometido. Você deve analisá-lo imediatamente. O Defender for Cloud tem alta confiança tanto na intenção maliciosa quanto nas descobertas usadas para emitir o alerta. Por exemplo, um alerta deteta a execução de uma ferramenta maliciosa conhecida, como o Mimikatz, uma ferramenta comum usada para roubo de credenciais.
Média: essa gravidade indica que provavelmente é uma atividade suspeita que pode indicar que um recurso está comprometido. A confiança do Defender for Cloud na análise ou na descoberta é média, e a confiança da intenção maliciosa é média a alta. Normalmente, seriam deteções baseadas em anomalias ou aprendizagem automática. Por exemplo, uma tentativa de entrada a partir de um local anômalo.
Baixa: Esta gravidade indica que pode ser um ataque benigno positivo ou bloqueado.
O Defender for Cloud não está confiante o suficiente de que a intenção é maliciosa e a atividade pode ser inocente. Por exemplo, log clear é uma ação que pode acontecer quando um invasor tenta ocultar seus rastros, mas em muitos casos é uma operação de rotina executada por administradores.
O Defender for Cloud geralmente não informa quando os ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você analise.
Informativo: você só verá alertas informativos quando fizer uma busca detalhada em um incidente de segurança ou se usar a API REST com um ID de alerta específico. Um incidente é normalmente composto por muitos alertas, alguns dos quais podem parecer por si só apenas informativos, mas no contexto dos outros alertas podem ser dignos de uma análise mais detalhada.
Monitorização e avaliações contínuas
O Defender for Cloud se beneficia de ter equipes de pesquisa de segurança e ciência de dados em toda a Microsoft que monitoram continuamente as mudanças no cenário de ameaças. Isto inclui as seguintes iniciativas:
Monitoramento de informações sobre ameaças: a inteligência de ameaças inclui mecanismos, indicadores, implicações e conselhos acionáveis sobre ameaças existentes ou emergentes. Essas informações são compartilhadas na comunidade de segurança e a Microsoft monitora continuamente feeds de inteligência de ameaças de fontes internas e externas.
Compartilhamento de sinais: as informações das equipes de segurança em todo o amplo portfólio da Microsoft de serviços locais e na nuvem, servidores e dispositivos de ponto final do cliente são compartilhadas e analisadas.
Especialistas de segurança da Microsoft: existe um envolvimento contínuo com equipas da Microsoft que trabalham em campos de segurança especializados, tal como a deteção de ataques da Web e forense.
Ajuste de deteção: os algoritmos são executados em relação a conjuntos de dados reais de clientes e os pesquisadores de segurança trabalham com os clientes para validar os resultados. Os verdadeiros e falsos positivos são utilizados para refinar os algoritmos do machine learning.
Compreender os tipos de alerta
A lista de referência de alerta atual contém mais de 500 tipos de alertas. A lista de referências pode ser revista em: Alertas de segurança - um guia de referência
Cada tipo de alerta tem uma descrição, gravidade e tática MITRE ATT&CK
Táticas MITRE ATT&CK
Compreender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento mais facilmente. Para ajudar nesses esforços, os alertas do Defender for Cloud incluem as táticas MITRE com muitos alertas. A série de passos que descrevem a progressão de um ciberataque do reconhecimento à exfiltração de dados é muitas vezes referida como uma "cadeia de morte".
As intenções de kill chain suportadas pelo Defender for Cloud são baseadas na versão 7 da matriz MITRE ATT&CK e descritas na tabela abaixo.
| Tática | Description |
|---|---|
| Pré-ataque | PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente da intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa, originada de fora da rede, de verificar o sistema de destino e identificar um ponto de entrada. |
| InitialAccess | InitialAccess é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é relevante para hosts de computação e recursos como contas de usuário, certificados, etc. Muitas vezes, os agentes de ameaças poderão controlar o recurso após esta fase. |
| Persistência | Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um agente de ameaça uma presença persistente nesse sistema. Os agentes de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fornecer um backdoor alternativo para que eles recuperem o acesso. |
| PrivilegeEscalation | O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Certas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas uma escalada de privilégios. |
| DefesaEvasão | A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. Às vezes, essas ações são as mesmas (ou variações de) técnicas em outras categorias que têm o benefício adicional de subverter uma defesa ou mitigação específica. |
| CredentialAccess | O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários do domínio com acesso de administrador) para usar na rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior dentro do ambiente. |
| Deteção | A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem alinhar-se ao que eles agora têm controle e quais benefícios a operação desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento. |
| Movimento Lateral | O movimento lateral consiste em técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e nuvem, mas não necessariamente inclui a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar o movimento lateral para muitos fins, incluindo a execução remota de ferramentas, pivotar para mais sistemas, acesso a informações ou arquivos específicos, acesso a outras credenciais ou para causar um efeito. |
| Execução | A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário num sistema local ou remoto. Esta tática é frequentemente usada com movimento lateral para expandir o acesso a sistemas remotos em uma rede. |
| Coleção | A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
| Exfiltração | Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
| ComandoAndControl | A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo. |
| Impacto | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Isso geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outras. |