Entender a análise comportamental

  • 8 minutos

Identificar ameaças dentro de sua organização e seu potencial impacto - seja uma entidade comprometida ou um insider mal-intencionado - é um processo demorado e trabalhoso. Quando você analisa alertas, conecta os pontos e caça ativamente, isso representa uma enorme quantidade de tempo e esforço gastos com retorno mínimo. E a possibilidade de ameaças sofisticadas escaparem da descoberta. Ameaças evasivas como ameaças persistentes de dia zero, direcionadas e avançadas podem ser as mais perigosas para sua organização, tornando sua detecção ainda mais crítica.

A funcionalidade de Comportamento de Entidades no Microsoft Sentinel elimina o trabalho pesado dos analistas e a incerteza presente em seus esforços. A capacidade de comportamento da entidade fornece inteligência de alta fidelidade e acionável, para que eles possam se concentrar na investigação e remediação.

À medida que Microsoft Sentinel coleta logs e alertas de todas as fontes de dados conectadas, ele analisa e cria perfis comportamentais de linha de base das entidades da sua organização (usuários, hosts, endereços IP, aplicativos etc.). A análise abrange o horizonte temporal e o grupo de pares. Microsoft Sentinel usa várias técnicas e recursos de machine learning e pode identificar atividades anômalas e ajudá-lo a determinar se um ativo está comprometido. Além disso, ele também pode descobrir a sensibilidade relativa de ativos específicos, identificar grupos semelhantes de ativos e avaliar o possível impacto de quaisquer ativos comprometidos (seu "raio de explosão"). Munido dessas informações, você pode priorizar efetivamente a investigação e o tratamento de incidentes.

Visão geral da arquitetura

Diagrama da visão geral da arquitetura UEBA.

Análise orientada por segurança

Microsoft adotou o paradigma do Gartner para soluções UEBA, o Microsoft Sentinel fornece uma abordagem "de fora para dentro", com base em três quadros de referência:

Casos de uso: Microsoft Sentinel prioriza os vetores de ataque e cenários relevantes com base em pesquisas de segurança alinhadas à estrutura de táticas, técnicas e subtécnicas do MITRE ATT&CK. A priorização identifica várias entidades como vítimas, autores ou pontos dinâmicos na cadeia de morte. Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.

Data Sources: Embora, em primeiro lugar, dê suporte a fontes de dados Azure, Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.

Analytics: Microsoft Sentinel usa algoritmos de ML (machine learning) e identifica atividades anômalas que apresentam evidências de forma clara e concisa na forma de enriquecimentos contextuais. Confira os exemplos abaixo.

Diagrama mostrando exemplos de enriquecimento de análise controlado por segurança em Microsoft Sentinel.

Microsoft Sentinel apresenta artefatos que ajudam seus analistas de segurança a obter uma compreensão clara das atividades anômalas no contexto e em comparação com o perfil de linha de base do usuário. As ações executadas por um usuário (ou um host ou um endereço) são avaliadas contextualmente, em que um resultado "true" indica uma anomalia identificada:

  • Em diferentes localizações geográficas, dispositivos e ambientes.

  • Em horizontes de tempo e frequência (comparado ao histórico do próprio usuário).

  • Em comparação com o comportamento dos pares.

  • Em comparação com o comportamento de uma organização.

Diagrama mostrando os anéis de contexto UEBA usados para avaliar a atividade do usuário.

Pontuação

Cada atividade é pontuada com "Pontuação de Prioridade de Investigação". A pontuação determina a probabilidade de um usuário específico executar uma atividade específica com base no aprendizado comportamental do usuário e de seus pares. As atividades identificadas como mais anormais recebem as pontuações mais altas (em uma escala de 0 a 10).