Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad
Las operaciones de seguridad (SecOps) mantienen y restauran las garantías de seguridad del sistema a medida que los adversarios directos lo atacan. Las tareas de SecOps se describen bien mediante las funciones del Marco de ciberseguridad de NIST de Detectar, Responder y Recuperar.
Detectar : SecOps debe detectar la presencia de los adversarios en el sistema, que están incentivados a permanecer ocultos en la mayoría de los casos, ya que esto les permite alcanzar sus objetivos sin que se les imponda. Esto puede tomar la forma de reaccionar a una alerta de actividad sospechosa o de buscar de forma proactiva eventos anómalos en los registros de actividades empresariales.
Responder : tras la detección de posibles acciones o campañas adversarias, SecOps debe investigar rápidamente para identificar si se trata de un ataque real (verdadero positivo) o una falsa alarma (falso positivo) y, después, enumerar el ámbito y el objetivo de la operación adversaria.
Recuperar : el objetivo final de SecOps es conservar o restaurar las garantías de seguridad (confidencialidad, integridad, disponibilidad) de los servicios empresariales durante y después de un ataque.
El riesgo de seguridad más importante al que se enfrentan la mayoría de las organizaciones es el de los operadores de ataques humanos (de distintos niveles de aptitudes). Esto se debe a que el riesgo de ataques automatizados o repetidos se ha mitigado significativamente para la mayoría de las organizaciones mediante métodos basados en la firma y el aprendizaje automático integrados en antimalware (aunque hay excepciones notables como Wannacrypt y NotPetya, que se movieron más rápido que estas defensas).
Aunque los operadores de ataques humanos son difíciles de enfrentar debido a su capacidad de adaptación (frente a la lógica automatizada o repetida), funcionan a la misma "velocidad humana" que los defensores, lo que ayuda a nivelar el campo de juego.
SecOps (a veces conocido como Centro de operaciones de seguridad (SOC)) tiene un papel fundamental que desempeñar al limitar el tiempo y el acceso que un atacante puede obtener a sistemas y datos valiosos. Cada minuto que un atacante tiene en el entorno les permite seguir llevando a cabo operaciones de ataque y acceder a sistemas confidenciales o valiosos.
Objetivo y métricas
Las métricas que mida tendrán un efecto significativo en los comportamientos y resultados de SecOps. Centrarse en las medidas correctas ayudará a impulsar la mejora continua en las áreas correctas que reducen significativamente el riesgo.
Para asegurarse de que SecOps contenga efectivamente el acceso de los atacantes, los objetivos deben centrarse en:
Reducir el tiempo para reconocer una alerta para asegurarse de que los adversarios detectados no se pasan por alto mientras los defensores dedican tiempo a investigar falsos positivos.
Reducir el tiempo de corrección de un adversario descubierto para reducir su tiempo de oportunidad para dirigir y agredir y llegar a sistemas confidenciales
Priorizar las inversiones en seguridad en sistemas que tengan un alto valor intrínseco (objetivos probables o alto impacto empresarial) y acceso a muchos sistemas o sistemas confidenciales (cuentas de administrador y usuarios confidenciales)
Aumentar el foco en la búsqueda proactiva de los adversarios a medida que el programa madura y los incidentes reactivas se controlan. Esto se centra en reducir el tiempo que un adversar más cualificado puede operar en el entorno (por ejemplo, lo suficientemente capacitado como para evadir alertas reactivas).
Para obtener más información sobre cómo el SOC de Microsoft usa estas métricas, vea https://aka.ms/ITSOC.
Vista empresarial híbrida
SecOps debe asegurarse de que sus herramientas, procesos y conjuntos de aptitudes de analistas permiten la visibilidad en todo el conjunto de su estado híbrido.
Los atacantes no restringen sus acciones a un entorno determinado al dirigirse a una organización, ataquen recursos en cualquier plataforma con cualquier método disponible. Enterprise las organizaciones que adoptan servicios en la nube como Azure y AWS operan de forma eficaz una implementación híbrida de activos locales y en la nube.
Las herramientas y procesos de SecOps deben diseñarse para ataques a activos locales y en la nube, así como a atacantes que pivote entre recursos locales y en la nube mediante identidad u otros medios. Esta vista de toda la empresa permitirá a los equipos de SecOps detectar, responder y recuperar rápidamente de los ataques, lo que reduce el riesgo organizativo.
Aprovechar las detecciones y controles nativos
Debe favorecer el uso de detecciones de seguridad y controles integrados en la plataforma en la nube antes de crear detecciones personalizadas con registros de eventos desde la nube.
Las plataformas en la nube evolucionan rápidamente con nuevas características, lo que puede hacer que mantener las detecciones sea difícil. Los controles nativos los mantiene el proveedor de la nube y suelen ser de alta calidad (baja tasa de falso positivo).
Dado que muchas organizaciones pueden usar varias plataformas en la nube y necesitan una vista unificada en toda la empresa, debe asegurarse de que estas detecciones nativas y controles alimentan una SIEM centralizada u otra herramienta. No se recomienda intentar sustituir las consultas y herramientas de análisis de registro generalizadas en lugar de las detecciones y controles nativos. Estas herramientas pueden ofrecer numerosos valores para las actividades de caza proactivas, pero llegar a una alerta de alta calidad con estas herramientas requiere la aplicación de una experiencia y un tiempo profundos que podrían gastarse mejor en la caza y otras actividades.
Para complementar la amplia visibilidad de un SIEM centralizado (como Microsoft Sentinel, Splunk o QRadar), debe aprovechar detecciones nativas y controles como:
Las organizaciones que usan Azure deben aprovechar funcionalidades como Microsoft Defender for Cloud para la generación de alertas en la plataforma de Azure.
Las organizaciones deben aprovechar las capacidades de registro nativas como Azure Monitor y AWS CloudTrail para extraer registros a una vista central.
Las organizaciones que usan Azure deben aprovechar las capacidades del grupo de seguridad de red (NSG) para ver las actividades de red en la plataforma de Azure.
Los procedimientos de investigación deben aprovechar las herramientas nativas con un profundo conocimiento del tipo de activo, como una solución de detección y respuesta (EDR) de punto de conexión, herramientas de identidad y Microsoft Sentinel.
Priorizar la integración de alertas y registros
Asegúrese de que está integrando alertas de seguridad críticas y registros en SI.MES sin introducir un gran volumen de datos de bajo valor.
La introducción de demasiados datos de bajo valor puede aumentar el costo de SIEM, aumentar el ruido y los falsos positivos y reducir el rendimiento.
Los datos que recopile deben centrarse en admitir una o varias de estas actividades de operaciones:
Alertas (detecciones de herramientas existentes o datos necesarios para generar alertas personalizadas)
Investigación de un incidente (por ejemplo, necesario para consultas comunes)
Actividades de caza proactivas
La integración de más datos puede permitirle enriquecer las alertas con un contexto adicional que habilite la respuesta rápida y la corrección (filtrar falsos positivos y elevar los verdaderos positivos, etc.), pero la recopilación no es detección. Si no tiene una expectativa razonable de que los datos proporcionen valor (por ejemplo, un alto volumen de firewall deniega eventos), puede despresoritizar la integración de estos eventos.
Recursos de SecOps para servicios de seguridad de Microsoft
Si es un nuevo usuario como analista de seguridad, vea estos recursos para empezar.
| Tema | Recurso |
|---|---|
| Planificación de SecOps para la respuesta a incidentes | Planificación de respuesta a incidentes para preparar la organización para un incidente. |
| Proceso de respuesta a incidentes de SecOps | Proceso de respuesta a incidentes para procedimientos recomendados sobre la respuesta a un incidente. |
| Flujo de trabajo de respuesta a incidentes | Flujo de trabajo de respuesta a incidentes de ejemplo para Microsoft 365 Defender |
| Operaciones de seguridad periódicas | Ejemplo de operaciones de seguridad periódicas para Microsoft 365 Defender |
| Investigación de Microsoft Sentinel | Incidentes en Microsoft Sentinel |
| Investigación para Microsoft 365 Defender | Incidentes en Microsoft 365 Defender |
Si es un analista de seguridad experimentado, vea estos recursos para aumentar rápidamente el equipo de SecOps para los servicios de seguridad de Microsoft.
| Tema | Recurso |
|---|---|
| Azure Active Directory (Azure AD) | Guía de operaciones de seguridad |
| Microsoft 365 Defender | Guía de operaciones de seguridad |
| Microsoft Sentinel | Cómo investigar incidentes |
| Microsoft 365 Defender | Cómo investigar incidentes |
| Establecimiento o modernización de operaciones de seguridad | Artículos Cloud Adoption Framework de Azure para las funciones SecOps y SecOps |
| Libros de reproducción de respuesta a incidentes | Información general en https://aka.ms/IRplaybooks - Suplantación de identidad (phishing - Rociado con contraseña - Concesión de consentimiento de aplicaciones |
| Marco de proceso de SOC | Microsoft Sentinel |
| Blocs de notas de MSTICPy y Jupyter | Microsoft Sentinel |
Serie de blog sobre SecOps en Microsoft
Vea esta serie de blogs sobre cómo funciona el equipo de SecOps en Microsoft.
- Parte 1: Organización: Misión y cultura
- Parte 2a: personas: Teams, niveles y roles
- Parte 2b: Personas: Carreras y preparación
- Parte 3a: Tecnología: Herramientas SOC
- Parte 3b : Tecnología: Día de vida de un analista
- Parte 3c: un día en la parte de vida 2 - Microsoft Security
- Parte 3d: Zen y el arte de la caza de amenazas
Simuland
Simuland es una iniciativa de código abierto para implementar entornos de laboratorio y simulaciones de un extremo a otro que:
- Reproducir técnicas conocidas usadas en escenarios de ataque real.
- Pruebe y compruebe activamente la eficacia de las detecciones relacionadas Microsoft 365 Defender, Microsoft Defender for Cloud y Microsoft Sentinel.
- Extender la investigación sobre amenazas con telemetría y artefactos forenses generados después de cada ejercicio de simulación.
Los entornos de laboratorio simulados proporcionan casos de uso de una variedad de orígenes de datos, incluida telemetría de productos de seguridad de Microsoft 365 Defender, Microsoft Defender for Cloud y otros orígenes de datos integrados a través de conectores de datos de Microsoft Sentinel.
En la seguridad de una suscripción de prueba o de espacio aislado de pago, puede:
- Comprender el comportamiento y la funcionalidad subyacentes de los productos comerciales de los adversarios.
- Identifique mitigaciones y rutas de ataque documentando condiciones previas para cada acción del atacante.
- Agilice el diseño y la implementación de entornos de laboratorio de investigación de amenazas.
- Manténgase al día con las técnicas y herramientas más recientes que usan los agentes de amenazas reales.
- Identifique, documente y comparta orígenes de datos relevantes para modelar y detectar acciones adversas.
- Validar y ajustar las capacidades de detección.
Los aprendizajes de escenarios de entorno de laboratorio simulado se pueden implementar en producción.
Después de leer una descripción general de Simuland, vea el repositorio GitHub Simuland.
Recursos de seguridad clave de Microsoft
| Recurso | Descripción |
|---|---|
| Informe de defensa digital de Microsoft 2021 | Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para que las personas de todas partes puedan defenderse de las ciberamenazas. |
| Arquitecturas de referencia de ciberseguridad de Microsoft | Un conjunto de diagramas de arquitectura visual que muestran las capacidades de ciberseguridad de Microsoft y su integración con plataformas de nube de Microsoft, como Microsoft 365 y Microsoft Azure y aplicaciones en la nube de terceros. |
| Descarga de infografía de cuestión de minutos | Información general sobre cómo el equipo de SecOps de Microsoft responde a incidentes para mitigar los ataques en curso. |
| Operaciones Cloud Adoption Framework seguridad de Azure | Instrucciones estratégicas para los líderes que establecen o modernizan una función de operación de seguridad. |
| Modelo de seguridad en la nube de Microsoft para arquitectos de TI | Seguridad en todos los servicios y plataformas en la nube de Microsoft para el acceso a identidades y dispositivos, protección contra amenazas y protección de información. |
| Documentación de seguridad de Microsoft | Instrucciones de seguridad adicionales de Microsoft. |
Paso siguiente
Revise las capacidades de las operaciones de seguridad.