Incidentes e alertas de segurança na Central de Segurança do Azure

A Central de Segurança gera alertas para recursos implantados nos seus ambientes do Azure locais e de nuvem híbrida.

Os alertas de segurança são ativados por detecções avançadas e estão disponíveis apenas no Azure Defender. Você pode atualizar da página Preço e configurações, conforme descrito em Início Rápido: habilitar Azure Defender. Há uma avaliação gratuita de 30 dias disponível. Para obter detalhes de preço na sua moeda preferencial e de acordo com a sua região, confira Preço da Central de Segurança.

O que são alertas de segurança e incidentes de segurança?

Alertas são as notificações que a Central de Segurança gera quando detecta ameaças em seus recursos. A Central de Segurança prioriza e lista os alertas, juntamente com as informações necessárias para que você investigue rapidamente o problema. A Central de Segurança também fornece recomendações sobre como você pode corrigir um ataque.

Um incidente de segurança é uma coleção de alertas relacionados, em vez de listar cada alerta individualmente. A Central de Segurança usa Correlação de alertas inteligentes de nuvem para correlacionar alertas diferentes e sinais de baixa fidelidade em incidentes de segurança.

Usando incidentes, a Central de Segurança fornece uma única exibição de uma campanha de ataque e todos os alertas relacionados. Essa exibição permite que você entenda rapidamente as ações tomadas pelo invasor e quais recursos foram afetados.

Responder às ameaças atuais

Houve alterações significativas no panorama de ameaças nos últimos 20 anos. Antigamente, as empresas normalmente só precisavam preocupar-se com a desfiguração do site por invasores individuais, que basicamente tinham interesse em ver “o que poderiam fazer”. Os hackers de hoje em dia são muito mais sofisticados e organizados. Eles geralmente têm objetivos estratégicos e financeiros específicos. Eles também têm mais recursos disponíveis, já que podem ser financiados por nações ou pelo crime organizado.

As mudanças nessa realidade levaram a um nível de profissionalismo nas classificações do invasor sem precedentes. Eles não estão mais interessados em desfiguração da Web. Agora, eles estão interessados em roubo de informações, de contas financeiras e de dados privados, que podem usar para gerar dinheiro no mercado aberto ou para se aproveitar de um negócio específico, para fins políticos ou militares. Ainda mais preocupante que esses invasores com um objetivo financeiro, são os invasores que violam as redes prejudicar a infraestrutura e pessoas.

Em resposta, as organizações geralmente implantam várias soluções pontuais, com foco em defender o perímetro ou os pontos de extremidade da empresa procurando assinaturas de ataques conhecidos. Essas soluções tendem a gerar um alto volume de alertas de baixa fidelidade, que exigem que um analista de segurança faça a triagem e investigue. A maioria das organizações não têm o tempo e o conhecimento necessário para responder a esses alertas; vários ficam sem investigação.

Além disso, os invasores têm evoluído seus métodos para examinar as várias defesas baseadas em assinatura e adaptar-se a ambientes em nuvem. Novas abordagens são necessárias para identificar ameaças emergentes e agilizar a detecção e a resposta mais rapidamente.

Monitoramento e avaliações contínuos

A Central de Segurança do Azure aproveita o fato de ter equipes de pesquisas de segurança e de ciência de dados em toda a Microsoft, que monitoram continuamente em busca de alterações no panorama de ameaças. Isso inclui as seguintes iniciativas:

  • Monitoramento de inteligência contra ameaças: A inteligência contra ameaças inclui mecanismos, indicadores, implicações e recomendações acionáveis sobre ameaças existentes ou iminentes. Essas informações são compartilhadas na comunidade de segurança e a Microsoft monitora continuamente os feeds de inteligência contra ameaças de fontes internas e externas.
  • Compartilhamento de sinal: Ideias de equipes de segurança de todo o amplo portfólio da Microsoft de serviços locais e de nuvem, servidores e dispositivos de ponto de extremidade cliente são compartilhadas e analisadas.
  • Especialistas de segurança da Microsoft: Comprometimento contínuo com as equipes da Microsoft que trabalham em campos de segurança especializada, como computação forense e detecção de ataque à Web.
  • Ajuste de detecção: Algoritmos são executados em conjuntos de dados de clientes reais e os pesquisadores de segurança trabalham com os clientes para validar os resultados. Verdadeiros e falsos positivos são usados para refinar os algoritmos de aprendizado de máquina.

Esses esforços combinados culminam em detecções novas e aprimoradas de que você pode se beneficiar instantaneamente. Não há nenhuma ação a ser tomada.

Como a Central de Segurança detecta ameaças?

Os pesquisadores de segurança da Microsoft estão constantemente à procura de ameaças. Devido à nossa presença global na nuvem e localmente, temos acesso a um conjunto expansivo de telemetria. A coleção diversa e abrangente de conjuntos de dados nos permite a descoberta de novos padrões de ataque e tendências em nossos produtos de consumidor e empresariais no local, bem como em serviços online. Como resultado, a Central de Segurança pode atualizar rapidamente seus algoritmos de detecção conforme os invasores lançam explorações novas e cada vez mais sofisticadas. Isso ajuda a acompanhar o ritmo de um ambiente de ameaças que muda rapidamente.

A fim de detectar ameaças e reduzir os falsos positivos, a Central de Segurança coleta, analisa e integra os dados de registro dos recursos do Azure e da rede. Ele também funciona com soluções de parceiros conectadas, como firewall e soluções de proteção de ponto de extremidade. A Central de Segurança analisa essas informações geralmente correlacionando informações de várias fontes para identificar ameaças.

Apresentação e coleta de dados da Central de Segurança

A Central de Segurança emprega análise de segurança avançada, que vai além das abordagens baseadas em assinatura. Inovações em tecnologias de big data e aprendizado de máquina são usadas para aproveitar os eventos de avaliação em toda a malha de nuvem, detectando ameaças que seriam impossíveis de identificar usando abordagens manuais e prevendo a evolução de ataques. Essas análises de segurança incluem:

  • Inteligência integrada contra ameaças: A Microsoft tem uma grande quantidade de inteligência contra ameaças globais. A telemetria flui de várias fontes, como o Azure, o Microsoft 365, o Microsoft CRM online, o Microsoft Dynamics AX, o outlook.com, o MSN.com, a DCU (Unidade de Crimes Digitais da Microsoft) e o Microsoft Security Response Center (MSRC). Os pesquisadores também recebem informações de inteligência de ameaça que são compartilhadas entre os principais provedores de serviços de nuvem e feeds de terceiros. A Central de Segurança do Azure pode usar essas informações para alertá-lo de ameaças vindas de maus atores conhecidos.

  • Análise comportamental: A análise de comportamento é uma técnica que analisa e compara dados em uma coleção de padrões conhecidos. No entanto, esses padrões não são assinaturas simples. Eles são determinados por meio de algoritmos de aprendizado de máquina complexos que são aplicados a grandes conjuntos de dados. Eles também são determinados pela análise cuidadosa de comportamentos mal-intencionados por analistas especialistas. A Central de Segurança do Azure pode usar a análise de comportamento para identificar recursos comprometidos baseado na análise dos logs de máquina virtual, dos logs de dispositivo de rede virtual, dos logs da malha e de outras fontes.

  • Detecção de anomalias: A Central de Segurança do Azure também usa detecção de anomalias para identificar ameaças. Ao contrário da análise de comportamento (que depende de padrões conhecidos derivados de grandes conjuntos de dados), a detecção de anomalias é mais "personalizada" e se concentra nas linhas de base que são específicas das suas implantações. O aprendizado de máquina é aplicado para determinar a atividade normal das implantações e, em seguida, as regras são geradas para definir condições de exceção que possam representar um evento de segurança.

Como os alertas são classificados?

A Central de Segurança atribui uma severidade aos alertas, para ajudá-lo a priorizar a ordem em que você participa de cada alerta, para que, quando um recurso for comprometido, você possa acessá-lo imediatamente. A severidade se baseia na confiança que a Central de Segurança tem na constatação ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve uma ação mal-intencionada por trás da atividade que levou ao alerta.

Observação

A severidade do alerta é exibida diferente no portal e nas versões da API REST antes de 01-01-2019. Se você estiver usando uma versão mais antiga da API, atualize para a experiência consistente descrita abaixo.

Severidade Resposta recomendada
Alta Há uma grande probabilidade de que o recurso seja comprometido. Você deve analisá-lo imediatamente. A Central de Segurança tem alta confiança em ambas as más intenções e em descobertas usadas para emitir o alerta. Por exemplo, um alerta que detecta a execução de uma ferramenta mal-intencionada conhecida como Mimikatz, uma ferramenta comum usada para roubo de credenciais.
Média Isso provavelmente é uma atividade suspeita que pode indicar que um recurso está comprometido. A confiança da Central de Segurança na análise ou localização é média e a confiança de más intenções é média a alta. Normalmente, essas seriam machine learning ou detecções baseadas em anomalia. Por exemplo, uma tentativa de conexão de um local anômalo.
Baixa Isso pode ser um positivo benigno ou um ataque bloqueado. A Central de Segurança não tem confiança suficiente de que a intenção é mal-intencionada, e a atividade pode ser inocente. Por exemplo, limpar o log é uma ação que pode acontecer quando um invasor tenta ocultar o percurso, mas em muitos casos é uma operação de rotina executada pelos administradores. A Central de Segurança geralmente não informa quando ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você examine.
Informativo Você só verá alertas informativos ao fazer busca detalhada em um incidente de segurança ou se você usar a API REST com uma determinada ID de alerta. Um incidente geralmente é composto de um número de alertas, alguns dos quais podem aparecer por conta própria e são apenas informativo, mas no contexto de outros alertas podem ser dignos de uma análise mais detalhada.

Exportar alertas

Você tem uma variedade de opções para ver seus alertas fora da Central de Segurança, incluindo:

Correlação de alertas inteligentes na nuvem na Central de Segurança do Azure (incidentes)

A Central de Segurança do Azure analisa continuamente as cargas de trabalho de nuvem híbrida usando a análise avançada e a inteligência contra ameaças para lhe avisar da existência de atividades mal-intencionadas.

A amplitude da cobertura de ameaças está crescendo. A necessidade de detectar até mesmo o menor comprometimento é importante, e a triagem dos diferentes alertas e a identificação de um ataque real podem ser um desafio para os analistas de segurança. A Central de Segurança ajuda os analistas a lidar com o trabalho excessivo gerado por esses alertas. Ele ajuda a diagnosticar ataques à medida que ocorrem, correlacionando alertas diferentes e sinais de baixa fidelidade em incidentes de segurança.

A análise de fusão é a tecnologia e o back-end analítico que permeiam os incidentes da Central de Segurança, permitindo que ela correlacione alertas e sinais contextuais diferentes. A fusão examina os sinais diferentes relatados em uma assinatura entre os recursos. A fusão localiza padrões que revelam a progressão do ataque ou sinais com informações contextuais compartilhadas, indicando que você deve usar um procedimento de resposta unificado para elas.

A análise de fusão combina o conhecimento do domínio de segurança com a IA para analisar alertas, descobrindo novos padrões de ataque conforme eles ocorrem.

A Central de Segurança aproveita a matriz de ataques MITRE para associar alertas às respectivas intenções percebidas, ajudando a formalizar o conhecimento do domínio de segurança. Além disso, usando as informações coletadas para cada etapa de um ataque, a Central de Segurança pode eliminar uma atividade que parece ser uma das etapas de um ataque, mas, na verdade, não é.

Como os ataques geralmente ocorrem em diferentes locatários, a Central de Segurança pode combinar algoritmos de IA para analisar as sequências de ataque que são relatadas em cada assinatura. Essa técnica identifica as sequências de ataque como padrões de alerta predominantes, em vez de serem associadas apenas incidentalmente entre si.

Durante uma investigação de um incidente, os analistas muitas vezes precisam de contexto extra para atingirem um veredito sobre a natureza da ameaça e como resolvê-la. Por exemplo, mesmo quando uma anomalia de rede é detectada, se não há compreensão do que está acontecendo na rede ou do recurso de destino, é difícil saber quais ações devem ser tomadas. Para ajudar, um incidente de segurança pode incluir artefatos, eventos relacionados e informações. As informações adicionais disponíveis para incidentes de segurança variam de acordo com o tipo de ameaça detectada e a configuração do seu ambiente.

Dica

Para obter uma lista de alertas de incidente de segurança que podem ser produzidos pela análise de fusão, confira a Tabela de referência de alertas.

Captura de tela do relatório de incidente de segurança detectado

Para gerenciar seus incidentes de segurança, confira Como gerenciar incidentes de segurança na Central de Segurança do Azure.

Próximas etapas

Neste artigo, você aprendeu sobre os diferentes tipos de alertas disponíveis na Central de Segurança. Para obter mais informações, consulte: