Detetar ataques antes de estes provocarem danosDetect attacks before they cause damage

Uma postura segura e forte requer que um sistema de deteção avançado esteja implementado para ser possível identificar ameaças antes de estas provocarem grandes danos.A strong secure posture requires an advanced detection system in place to be able to identify threats before they cause major damage. As organizações podem tirar partido da inteligência de segurança da Microsoft para detetar atividades suspeitas no local e na cloud.Organizations can seamlessly leverage Microsoft security intelligence to detect suspicious activities on-premises and in the cloud.

Um sistema de deteção forte tem de descobrir atividades suspeitas e identificar ameaças com visibilidade profunda e análises comportamentais contínuas.A strong detection system must uncover suspicious activity and pinpoint threats with deep visibility and ongoing behavioral analytics. Isto permite que as TI tomem medidas imediatas em resposta à deteção de ataques e simplifiquem a recuperação através de um suporte avançado.This lets IT take immediate action against detected attacks and streamline recovery with powerful support.

Como pode o Enterprise Mobility + Security ajudá-lo?How can Enterprise Mobility + Security help you?

O Microsoft Enterprise Mobility + Security permite que as TI identifiquem os atacantes na sua organização ao utilizar análises comportamentais inovadoras e tecnologias de deteção de anomalias no local e na cloud.Microsoft Enterprise Mobility + Security enables IT to identify attackers in your organization using innovative behavioral analytics and anomaly detection technologies, on-premises and in the cloud. Isto ajudará as TI a detetar ataques maliciosos e vulnerabilidades de segurança conhecidos nos respetivos sistemas.It will assist IT to detect known malicious attacks and known security vulnerabilities in their systems.

Para fazer face aos requisitos deste cenário, o EMS utiliza o Advanced Threats Analytics, o Cloud App Security e o Azure Active Directory Premium.To address the requirements of this scenario, EMS uses Advanced Threats Analytics, Cloud App Security and Azure Active Directory Premium. Ao implementarem estas tecnologias, as organizações serão capazes de:By implementing these technologies, organizations will be able to:

  • Detetar ou identificar comportamentos anormais ao utilizar análises comportamentais inovadoras e tecnologias de deteção de anomalias que tiram partido de machine learningDetect or identify abnormal behavior using innovative behavioral analytics and anomaly detection technologies leveraging machine learning
  • Detetar ataques maliciosos conhecidos (ou seja, Passagem do Hash, Passagem da Permissão) e vulnerabilidades de segurança conhecidasDetect known malicious attacks (i.e. Pass the Hash, Pass the Ticket) and known security vulnerabilities
  • Concentrar-se nas informações de ataque importantes, rápidas, claras e relevantesFocus on what is important fast clear and relevant attack information
  • Identificar anomalias e violações de política que podem indicar falha de segurançaIdentify anomalies and policy violations that may be indicative of a security breach

O diagrama seguinte resume as capacidades envolvidas neste cenário e a forma como são utilizadas para proteger os seus recursos:The following diagram summarizes the capabilities involved in this scenario and how they are used to protect your resources:

Gráfico a mostrar as capacidades de cada solução de produto e como funcionam para proteger contra ataques.

Como detetar ataques antes de estes provocarem danosHow to detect attacks before they cause damage

Tradicionalmente, os investimentos em termos de segurança apenas se concentravam na proteção.Traditionally, security investments were focused only on protection. Contudo, hoje em dia, é fundamental ter também uma boa capacidade de deteção e resposta.However nowadays it is imperative to also have good detection and response. As organizações de TI devem focar-se numa abordagem que tenha em conta a forma de proteger, detetar e responder a ameaças.IT organizations should focus on an approach that looks at how to protect, detect, and respond to threats.

Gráfico a mostrar o processo contínuo de proteção, deteção e resposta a ameaças.

As TI têm de considerar a forma de proteger adequadamente a identidade, os dados, as aplicações, os dispositivos e as infraestruturas no local ou na cloud.IT must look at how to appropriately secure identity, data, applications, devices, and infrastructure—on-premises or in the cloud. Para tal, é necessária uma abordagem à segurança que considera todos os seus pontos finais, desde os sensores até ao centro de dados.This requires an approach to security that considers all your end-points, from sensors to the datacenter. Antigamente, os administradores de TI baseavam-se em assinaturas de software maligno para reconhecer ameaças.In the past, IT administrators relied on malware signatures to recognize threats.

As ferramentas de segurança de TI tradicionais fornecem uma proteção limitada contra ataques de cibersegurança sofisticados quando as credenciais do utilizador são roubadas.Traditional IT security tools provide limited protection against sophisticated cyber-security attacks when user credentials are stolen. A configuração inicial, a criação de regras e o ajuste são complexos e podem demorar anos.Initial set up, creating rules, and fine-tuning are cumbersome and may take years. Todos os dias, recebe vários relatórios repletos de falsos positivos.Every day, you receive several reports full of false positives. Na maioria das vezes, não tem os recursos necessários para rever esta informação e, mesmo que a pudesse rever, poderia continuar a não ter as respostas, uma vez que estas ferramentas foram concebidas para proteger o perímetro, principalmente para impedir o acesso dos atacantes.Most of the time, you don’t have the resources to review this information and even if you could, you may still not have the answers, since these tools are designed to protect the perimeter, primarily stopping attackers from gaining access. Atualmente, os ataques de cibersegurança complexos exigem uma abordagem diferente.Today’s complex cyber-security attacks require a different approach.

Para mitigar as ameaças atuais neste novo cenário de ataques de cibersegurança, as TI precisam de soluções de deteção de ameaças inovadoras que tirem partido das análises comportamentais e das tecnologias de machine learning para que possam reconhecer rapidamente as ameaças totalmente novas.To mitigate current threats in this new cyber security attack landscape, IT needs innovative threat detection solutions leveraging behavioral analytics and machine learning technologies so they can rapidly recognize entirely new threats. Ao tirar partido do ATA e do Cloud App Security para detetar ataques no local e na cloud, as TI conseguem responder rapidamente aos incidentes antes de estes provocarem grandes danos no ambiente.By leveraging ATA and Cloud App Security to detect attacks on-premises and in the cloud, IT can rapidly respond to incidents before they cause major damage to the environment.

Leia o artigo Planeamento de capacidade do ATA antes da implementação do ATA no local, bem como Pré-requisitos do ATA para obter considerações gerais antes da instalação do ATA.Read ATA capacity planning before implementing ATA on-premises, and also ATA prerequisites, for general considerations prior to installing ATA. Utilize a lista de verificação de pré-instalação para confirmar se a sua infraestrutura está preparada para receber o ATA.Use the pre-installation checklist to validate if your infrastructure is ready to receive ATA. Depois de concluir esta fase de planeamento e validação, estará pronto para implementar o ATA.Once you finish this planning and validation phase, you will be ready to deploy ATA. Após a implementação do ATA no seu ambiente, a configuração é mínima e será iniciada imediatamente para que possa saber mais sobre o seu ambiente e acionar alertas se encontrar ataques maliciosos conhecidos.Once ATA is deployed on your environment, the configuration is minimal and it will immediately start to learn about your environment and trigger alerts if it finds known malicious attacks. Siga o passo 1 para utilizar o ATA para identificar atividades suspeitas no local.Follow step 1 to use ATA to identify suspicious activity on-premises.

Para detetar ameaças a aplicações na cloud, este cenário utiliza o Cloud App Security.To detect threats for cloud apps, this scenario uses Cloud App Security. Certifique-se de que segue as instruções de configuração gerais para configurar o Cloud App Security e que utiliza a opção Cloud Discovery para analisar os seus registos de tráfego relativamente ao catálogo de aplicações de cloud do Cloud App Security.Make sure to follow the general setup instructions to setup Cloud App Security and use cloud discovery option to analyze your traffic logs against Cloud App Security's cloud app catalog. Siga o passo 2 para utilizar o Cloud App Security para detetar ameaças e violações de conformidade.Follow step 2 to use Cloud App Security to detect threats and compliance violations.

Como implementar esta soluçãoHow to implement this solution

Siga estes passos para implementar o Advanced Threats Analytics e o Cloud App Security:Follow these steps to implement Advanced Threats Analytics and Cloud App Security:

  • Passo 1 – Utilizar o Advanced Threat Analytics (ATA) para detetar atividades suspeitas no localStep 1: Use Advanced Threat Analytics (ATA) to detect suspicious activity on-premises
  • Passo 2 – Utilizar o Cloud App Security para detetar ameaças e violações de conformidade para aplicações na cloudStep 2: Use Cloud App Security to detect threats and compliance violations for cloud apps

Passo 1 – Utilizar o ATA para detetar atividade suspeitaStep 1: Using ATA to detect suspicious activity

A criação constante de relatórios por parte das ferramentas de segurança tradicionais e a análise destes relatórios para localizar os alertas importantes e relevantes podem ser processos complicados.The constant reporting of traditional security tools and sifting through them to locate the important and relevant alerts can get overwhelming. Em alternativa, o ATA fornece um relatório de fácil consumo, de desagregação fácil e semelhante ao feed das redes sociais que ajuda as TI a concentrarem-se rapidamente naquilo que é importante.Instead, ATA provides an easy-to-consume, simple-to-drill-down, social media feed-like report helping IT to focus on what is important fast. A apresentação desta quantidade de dados como uma linha cronológica permite-lhe ter uma perspetiva e visão sobre quem, quando e como estão a aceder aos dados.Presenting this quantity of data as a timeline gives you the power of perspective, and insight into who’s accessing what, when they’re accessing it, and how they’re accessing the data.

Quando abre a linha cronológica do ataque no ATA, vê um relatório abrangente com atividades suspeitas que mostra as entidades que estiveram envolvidas nesta atividade e as recomendações sobre o que fazer:When you open the attack timeline in ATA, you see a comprehensive report with suspicious activities showing the entities that were involved in this activity and what the recommendations are:

Captura de ecrã da linha cronológica do ataque com um relatório sobre as atividades suspeitas.

Neste exemplo, existe um evento a indicar suspeitas de roubo de identidade através da utilização de ataque de passagem da permissão.In this example, there is an event indicating suspicion of identity theft using pass-the-ticket attack. Também tem uma lista das recomendações que pode ser utilizada para obter passos de remediação inicial.You also have a list of recommendations that can be used for initial remediation steps. Neste exemplo, o ATA forneceu um alerta, dado que a permissão Kerberos do administrador foi roubada do servidor SHAREDADMIN-SRV para o EXTVENDOR-TS e utilizada para aceder ao DC01.In this example, ATA provided an alert as the administrator’s Kerberos ticket was stolen from the server SHAREDADMIN-SRV to EXTVENDOR-TS and used to access DC01. Pode aprofundar o seu processo de investigação ao clicar em qualquer objeto neste evento.You can go further in your investigation process by clicking on any object in this event. Por exemplo, ao clicar no fornecedor externo Servidor de Terminais (EXTVENDOR-TS), terá acesso a todas as atividades suspeitas nas quais este servidor esteve envolvido.For example, by clicking in the external vendor Terminal Server (EXTVENDOR-TS) you will have access to all suspicious activities in which this server was involved.

O ATA utiliza machine learning nos seus motores deterministas e de deteção para compreender os padrões comportamentais normais dos utilizadores e das entidades. É esta capacidade exclusiva que nos permite fornecer alertas atempados e exatos numa grande variedade de vetores de ataque.ATA uses machine learning both in its deterministic and detection engines to establish an understanding of the normal behavior patterns for both users and entities, and it’s that unique capability that allows us to provide timely and accurate alerts across a huge variety of attack vectors.

Passo 2 – Utilizar o Cloud App Security para detetar ameaças e violações de política para aplicações na cloudStep 2: Using Cloud App Security to detect threats and policy violations for cloud apps

Cada vez mais organizações estão a adotar aplicações SaaS não só para reduzir os custos, mas também para obter vantagens competitivas, tais como um melhor tempo de comercialização e uma melhor colaboração.More and more organizations are adopting SaaS apps, not only to reduce costs but also to unlock competitive advantages such as improved time to market and better collaboration. Mesmo se a sua empresa não utilizar aplicações na cloud, os seus funcionários provavelmente utilizam.Even if your company does not use cloud applications, your employees probably do. Segundo as pesquisas, mais de 80% dos funcionários admitem utilizar aplicações SaaS não aprovadas no emprego.According to research, more than 80 percent of employees admit to using non-approved SaaS apps in their jobs.

Com esta transição rápida para aplicações na cloud, sabemos que poderá estar preocupado com o armazenamento de dados empresariais na cloud e como os tornar acessíveis aos utilizadores em qualquer lugar sem visibilidade, auditoria ou controlos abrangentes.With this fast transition to cloud apps, we know you may be concerned about storing corporate data in the cloud and how to make it accessible to users anywhere without comprehensive visibility, auditing, or controls. As soluções de segurança legadas não foram concebidas para proteger dados nas aplicações SaaS.Legacy security solutions are not designed to protect data in SaaS applications. As soluções de segurança de rede tradicionais, tais como firewalls e IPS, não permitem visualizar as transações que são exclusivas para cada aplicação e tráfego fora do local, incluindo a forma como os dados estão a ser utilizados e armazenados.Traditional network security solutions, such as firewalls and IPS, don’t offer visibility into the transactions that are unique to each application and traffic off-premises, including how data is being used and stored. Os controlos clássicos não conseguem fornecer proteção para as aplicações na cloud, dado que monitorizam apenas um pequeno subconjunto de tráfego na cloud e têm uma compreensão limitada das atividades ao nível da aplicação.Classic controls fail to provide protection for cloud apps as they monitor only a small subset of cloud traffic and have limited understanding of app-level activities.

Então, como pode manter a visibilidade, o controlo e a proteção das suas aplicações na cloud?So how can you maintain visibility, control, and protection of your cloud apps? Temos a solução para si:We have your solution:

O Microsoft Cloud App Security é um serviço abrangente que fornece maior visibilidade, controlos abrangentes e proteção melhorada para as suas aplicações na cloud.Microsoft Cloud App Security is a comprehensive service that provides deeper visibility, comprehensive controls, and improved protection for your cloud applications. O Cloud App Security foi concebido para ajudar a expandir a visibilidade, a auditoria e o controlo que tem no local para as suas aplicações na cloud.Cloud App Security is designed to help you extend the visibility, auditing, and control you have on-premises to your cloud applications.

O Cloud App Security fornece não só visibilidade e controlo, mas também proteção avançada contra ameaças para as suas aplicações na cloud, além de inteligência e pesquisa vastas de ameaças com a tecnologia Microsoft.Cloud App Security provides not only visibility and control but also powerful threat protection for your cloud applications, enhanced with vast Microsoft threat intelligence and research. Pode identificar utilizações de alto risco e incidentes de segurança e detetar comportamentos anormais de utilizadores para impedir ameaças.You can identify high-risk usage and security incidents, and detect abnormal user behavior to prevent threats.

Quando acede ao dashboard do Cloud App Security, tem uma vista abrangente do estado de proteção das suas aplicações na cloud, incluindo uma secção dedicada a alertas:When you access the Cloud App Security dashboard, you have a comprehensive view of the secure state of your cloud apps, including a section dedicated to alerts:

Captura de ecrã do dashboard do Cloud App Security incluindo alertas abertos.

Pode clicar no menu Alertas para aceder ao centro de alertas.You can click in the Alerts menu to access the alert center. O centro de alertas recolhe alertas de uma grande variedade de categorias, incluindo deteção de ameaças, contas com privilégios e violações de conformidade.The alerts center gathers alerts of a wide variety of categories, including threat detection, privileged accounts and compliance violations.

Captura de ecrã do centro de alertas a mostrar uma lista de cada alerta.

O centro de alertas recolhe todos os alertas identificados pelo Cloud App Security, incluindo deteção de anomalias e ameaças, violações de conformidade e contas com privilégios.The alerts center gathers all the red flags identified by Cloud App Security including anomaly and threat detection compliance violations and privileged accounts. A heurística avançada de machine learning do Cloud App Security aprende como cada utilizador interage com cada aplicação na cloud e avalia o risco em cada transação através de análises comportamentais.Cloud App Security advanced machine learning heuristics learns how each user interacts with each cloud app and through behavioral analysis, assesses the risk in each transaction.

Quando estiver a investigar um alerta, pode clicar no nome do alerta para obter mais informações acerca do mesmo.When you are investigating an alert, you can click in the alert’s name to obtain more information about it. No exemplo seguinte, o alerta faz referência a uma correspondência no ficheiro de política Ficheiros confidenciais partilhados pelo público, que é considerado de alta prioridade, uma vez que pode levar a fuga de dados.In the following example the alert is referring to a match in the file policy Public shared confidential files, which is considered high priority since it can lead to data leakage.

Captura de ecrã de detalhes específicos de um dos alertas.

O exemplo anterior baseou-se numa violação de política, mas o Cloud App Security também é capaz de detetar anomalias.While the previous example was based on a policy violation, Cloud App Security is also able to detect anomalies. O Cloud App Security tem um período de aprendizagem inicial de 7 dias durante o qual não sinaliza quaisquer novos utilizadores, atividades, dispositivos ou localizações como anómalos.Cloud App Security has an initial learning period of 7 days during which it does not flag any new users, activity, devices or locations as anomalous. Depois disso, cada sessão é comparada com a atividade – quando os utilizadores estavam ativos, endereços IP, dispositivos, entre outros fatores – que foi detetada no último mês, e a pontuação de risco é atribuída a essas atividades.After that, each session is compared to the activity – when users were active, IP addresses, devices, etc. – that were detected over the previous month and a risk score is assigned to these activities. A descrição para este tipo de alerta é designada por Deteção Geral de Anomalias e, depois de clicar no mesmo, verá um ecrã semelhante ao seguinte:The description for this type of alert is called General Anomaly Detection and once you click on it, you will see a screen similar to the following:

Captura de ecrã que mostra anomalias que foram detetadas pelo Cloud App Security.

Nesta página, pode ver o utilizador que acionou o alerta, o endereço IP, a associação a grupos do utilizador e as informações adicionais sobre o comportamento suspeito.On this page, you can see which user triggered the alert, the IP address, the group membership of the user, and more information about the suspicious behavior. Pode ver mais detalhes sobre esta atividade, que incluem as tentativas de início de sessão falhadas, a localização onde o início de sessão teve origem e a aplicação que foi utilizada para efetuar a tentativa de início de sessão.You can view more details about this activity, which includes the failed logon attempts, the location where the logon was originated, and the app that was used to perform the logon attempt.