SecOps integrado com Confiança Zero

Uma das principais mudanças de ponto de vista que constituem a marca registrada de estruturas de segurança de Confiança Zero é a mudança de uma relação de confiança por padrão para uma relação de confiança por exceção. No entanto, você precisa ter uma maneira confiável de estabelecer confiança quando a confiança é necessária. Como você não pressupõe mais que as solicitações sejam confiáveis, é fundamental estabelecer um meio de atestar a confiança da solicitação para provar sua confiabilidade em um momento específico. Esse atestado exige a capacidade de obter visibilidade das atividades sobre e em torno da solicitação.

Em nossos outros guias Confiança Zero, definimos a abordagem à implementação de Confiança Zero de ponta a ponta entre identidades, pontos de extremidade e dispositivos, dados, aplicativos, infraestrutura e rede. Todos esses investimentos aumentam sua visibilidade, o que proporciona a você dados melhores para tomar decisões de confiança. No entanto, ao adotar uma abordagem de Confiança Zero nessas seis áreas, você necessariamente aumentará o número de incidentes que os analistas da SOC (Central de Operações de Segurança) precisam reduzir. Seus analistas ficarão mais ocupados do que nunca em uma época que já apresenta poucos talentos na área. Muitos alertas levam à fadiga crônica de alertas e à perda de alertas críticos por parte dos analistas.

Com cada uma dessas áreas individuais gerando seus próprios alertas relevantes, precisamos de uma capacidade integrada de operações de segurança (SecOps) para gerenciar o fluxo resultante de dados para se defender melhor contra ameaças e validar a confiança em uma transação.

Você deseja ter a capacidade de:

• Detectar ameaças e vulnerabilidades.
• Investigar.
• Responder.
• Procurar.
• Fornecer contexto adicional por meio da análise de ameaças.
• Avaliar vulnerabilidades.
• Obter ajuda de especialistas de renome mundial
• Impedir ou bloquear eventos entre os pilares.

O gerenciamento de ameaças inclui detecção reativa e proativa e requer ferramentas que dão suporte a ambos.

A detecção reativa ocorre quando os incidentes são disparados por um dos seis pilares que podem ser investigados. Além disso, um produto de gerenciamento como um SIEM (produto de gerenciamento de eventos e informações de segurança) provavelmente dará suporte a outra camada de análise que enriquecerá e correlacionará dados, resultando em sinalizar um incidente como incorreto. A próxima etapa seria investigar o ataque para obter a narrativa completa.

Detecção proativa é quando você aplica busca aos dados para comprovar uma hipótese de comprometimento. A busca de ameaças começa com a suposição de que você foi violado; há uma busca para provar que houve uma violação.

A busca de ameaças começa com uma hipótese baseada em ameaças atuais, como ataques de phishing envolvendo COVID-19. Os analistas começam com essa ameaça hipotética, identificam os principais indicadores de comprometimento e buscam os dados para ver se há alguma prova de que o ambiente foi comprometido. Se houver indicadores, os cenários de busca focada podem resultar em análises que notificarão as organizações no caso de determinados indicadores ocorrerem novamente.

De qualquer forma, depois que um incidente for detectado, você precisará investigar para conhecer a história completa do ataque. O que mais o usuário fez? Quais outros sistemas foram envolvidos? Quais executáveis foram rodados?

Se uma investigação resultar em aprendizados acionáveis, você poderá tomar medidas de correção. Por exemplo, se uma investigação descobrir lacunas em uma implantação de Confiança Zero, as políticas poderão ser modificadas para resolver essas lacunas e evitar incidentes indesejados futuros. Sempre que possível, é desejável automatizar as etapas de correção, pois reduz o tempo necessário para que um analista do SOC resolva a ameaça e vá para o próximo incidente.

Outro componente importante da avaliação de ameaças é incorporar inteligência de ameaça conhecida em relação aos dados ingeridos. Se for sabido que um IP, hash, URL, arquivo, executável, etc. é defeituoso, ele poderá ser identificado, investigado e corrigido.

No pilar de infraestrutura, tempo foi gasto no tratamento de vulnerabilidades. Se for sabido que um sistema é vulnerável e uma ameaça se beneficiar dessa vulnerabilidade, isso é algo que poderia ter sido detectado, investigado e corrigido.

Para usar essas táticas a fim de gerenciar ameaças, você deve ter um console central para permitir que os administradores do SOC detectem, investiguem, corrijam, busquem, utilizem inteligência contra ameaças, entendam vulnerabilidades conhecidas, usem os serviços de especialistas em ameaças e bloqueiem ameaças em qualquer um dos seis pilares. As ferramentas necessárias para dar suporte a essas fases funcionam melhor se forem reunidas em um único fluxo de trabalho, o que fornece uma experiência simples que aumenta a eficácia do analista do SOC.

Os centros de operações de segurança geralmente implantam uma combinação de tecnologias SIEM e SOAR para coletar, detectar, investigar e responder a ameaças. A Microsoft oferece o Microsoft Sentinel como a oferta de SIEM como serviço. O Microsoft Sentinel ingere todos os dados do Microsoft Defender para Identidade e de terceiros.

Microsoft Defender XDR, uma importante fonte de dados para o Microsoft Sentinel, fornece uma suíte unificada de defesa empresarial que oferece proteção, detecção e resposta contextualizadas em todos os componentes do Microsoft 365. Por estarem cientes do contexto e coordenados, os clientes que utilizam o Microsoft 365 podem obter visibilidade e proteção em endpoints, ferramentas de colaboração, identidades e aplicativos.

É por meio dessa hierarquia que permitimos que nossos clientes maximizem seu foco. Por meio do reconhecimento de contexto e da correção automatizada, o Microsoft Defender XDR pode detectar e bloquear muitas ameaças sem aumentar ainda mais a fadiga causada pelo excesso de alertas para os profissionais do SOC já sobrecarregados. A busca avançada no Microsoft Defender XDR traz esse contexto para a investigação, para se concentrar em vários pontos importantes de ataque. E a busca e orquestração em todo o ecossistema por meio de Microsoft Sentinel fornece a capacidade de obter a visibilidade certa em todos os aspectos de um ambiente heterogêneo, minimizando a sobrecarga cognitiva do operador.

Objetivos de visibilidade, automação e orquestração da implantação de Confiança Zero

Guia de implantação de Confiança Zero para visibilidade, automação e orquestração

Este guia explicará as etapas necessárias para gerenciar a visibilidade, a automação e a orquestração seguindo os princípios de uma estrutura de segurança de Confiança Zero.

I. Estabelecer visibilidade

A primeira etapa é estabelecer a visibilidade habilitando a MTP ( Proteção contra Ameaças da Microsoft).

Siga estas etapas:

1. Inscreva-se em uma das cargas de trabalho Microsoft Defender XDR.
2. Habilite as tarefas de processamento e estabeleça a conectividade.
3. Configure a detecção em seus dispositivos e na infraestrutura para trazer visibilidade imediata sobre atividades em andamento no ambiente. Isso dá a você o "tom de discagem" que é importante para iniciar o fluxo de dados críticos.
4. Habilite Microsoft Defender XDR para obter visibilidade entre cargas de trabalho e detecção de incidentes.

II. Habilitar automação

A próxima etapa principal, depois de ter estabelecido a visibilidade, é habilitar a automação.

Investigações e correções automatizadas

Com o Microsoft Defender XDR, automatizamos tanto as investigações quanto a remediação, o que essencialmente proporciona uma análise adicional de SOC de Nível 1.

AIR(Investigação e correção automatizadas) podem ser habilitadas gradualmente, ou seja, você pode se familiarizar gradualmente com as ações realizadas.

Siga estas etapas:

1. Habilite a AIR para um grupo de teste.
2. Analise as etapas de investigação e as ações de resposta.
3. Passe gradualmente para a aprovação automática de todos os dispositivos a fim de reduzir o tempo de detecção e resposta.

Vincular conectores de dados da Microsoft Purview e produtos de terceiros relevantes ao Microsoft Sentinel

Para obter visibilidade dos incidentes resultantes da implantação de um modelo de Confiança Zero, é importante conectar Microsoft Defender XDR, Microsoft Purview Conectores de Dados e produtos de terceiros relevantes para Microsoft Sentinel para fornecer uma plataforma centralizada para investigação e resposta de incidentes.

Como parte do processo de conexão de dados, é possível habilitar a análise relevante para disparar incidentes e criar pastas de trabalho para uma representação gráfica dos dados ao longo do tempo.

Vincular dados de inteligência contra ameaças ao Microsoft Sentinel

Embora a análise de aprendizado de máquina e fusão de dados sejam fornecidas prontamente disponíveis, também é benéfico integrar dados de inteligência contra ameaças no Microsoft Sentinel para ajudar a identificar eventos relacionados a entidades maliciosas conhecidas.

III. Habilitar controles adicionais de proteção e detecção

Habilitar controles adicionais melhora o sinal que chega ao Microsoft Defender XDR e Microsoft Sentinel para melhorar sua visibilidade e capacidade de orquestrar respostas.

Os controles de redução da superfície de ataque representam essa oportunidade. Esses controles de proteção não apenas bloqueiam determinadas atividades que são mais associadas a malware, mas também fornecem tentativas de usar abordagens específicas, o que pode ajudar a detectar adversários que tiraram proveito dessas técnicas anteriormente.

Produtos abordados neste guia

Microsoft Azure

Microsoft Defender para Identidade

Microsoft Sentinel

Microsoft 365

Proteção contra Ameaças da Microsoft

A série de guias de implantação de Confiança Zero