Explore a busca de ameaças com Proteção contra Ameaças da Microsoft

Embora as equipes de operações de segurança bem financiadas e altamente organizadas geralmente tenham os mecanismos de detecção mais sofisticados em vigor, essas equipes ainda precisam de especialistas que possa executar investigações guiadas para localizar e parar determinadas ameaças. Por exemplo, invasores sofisticados geralmente aproveitam a funcionalidade normal do sistema que deixa quase nenhum rastro identificável. Sim, algoritmos de detecção baseados em comportamentos alimentados por aprendizado de máquina e IA podem aprender e responder rapidamente. Mas os especialistas humanos ainda desempenham o papel mais valioso na busca de ameaças. Sua função é especialmente importante se eles conhecem a rede e estão familiarizados com como os ataques podem ocorrer.

O que é a busca de ameaças?

A busca de ameaças cibernéticas ou simplesmente busca de ameaças, é uma atividade proativa de segurança cibernética. O seu objetivo é encontrar ameaças que sejam:

• Enterrado sob grandes quantidades de sinais de segurança e dados de alerta.
• Não sinalizado por produtos de segurança.

Durante a busca de ameaças, os profissionais de operações de segurança aplicam as conclusões de inteligência contra ameaças, seja de suas próprias pesquisas internas ou externas. Com essas informações, eles pensam em maneiras geniais para determinar a existência de uma ameaça que não seria detectada anteriormente. Para fazer isso, eles precisam de acesso eficiente a dados abrangentes sobre eventos e entidades em sua rede. Eles também precisam de uma boa compreensão quantificável de estados normais ou linhas de base.

A busca de ameaças permite que os analistas trabalhem com linhas de base estabelecidas e realça o comportamento que pode ser interessante. Dadas as ferramentas certas, os analistas podem adaptar as suas atividades de investigação de ameaças aos seus ambientes e ameaças antecipadas. Por exemplo, podem procurar comportamentos invulgares, como ligações de rede inesperadas, que podem indicar que alguém comprometeu uma conta ou uma aplicação interna.

O processo de estabelecer as próprias linhas de base também pode fazer parte da busca de ameaças. Para estabelecer linhas de base, os analistas precisam de ferramentas que possam rapidamente voltar e avançar no tempo. Essas ferramentas devem fornecer dados suficientemente granulares para definir estados normais.

A busca de ameaças eficaz depende de:

• Dados de eventos e do sistema abrangentes, bem estruturados e recuperáveis.
• Inteligência contra ameaças: conhecimento sobre atores de ameaças ou infraestrutura, metodologias e indicadores de ator.
• Informações de linha de base granulares que representam a atividade e os estados normais.

Para o ajudar a compreender os conceitos de investigação de ameaças, vejamos um exemplo do que a Jessica, administradora de Operações de Segurança da Contoso, passou:

1. Jessica descobre uma nova vulnerabilidade que afeta um dos pacotes de produtos no ambiente da Contoso. Neste caso, os ataques são contra um CMS (sistema de gerenciamento de conteúdo da Web) conhecido.
2. Depois de fazer mais pesquisas, a Jessica não consegue determinar como os atacantes planeiam utilizar esta vulnerabilidade. Uma vez que o lançamento desta vulnerabilidade é tão recente, não existem dados históricos que a Jéssica possa analisar para determinar como os atacantes utilizaram esta ameaça no ambiente da Contoso. A situação da Contoso é ainda mais árdua, uma vez que um patch para resolver o problema ainda não está disponível.
3. Jessica cria uma consulta para comportamentos vinculados aos processos envolvidos nessa vulnerabilidade. Essa consulta determina um linha de base existente e um comportamento normal. Em seguida, a Jéssica modifica as consultas existentes para devolver apenas comportamentos que não são esperados.
4. Ela também cria regras para que as consultas sejam executadas regularmente e enviem notificações à equipe de operações de segurança sempre que houver correspondências.
5. Como Jessica concluiu uma ampla pesquisa e construiu consultas excelentes, cuidadosamente considerando a possibilidade de que alguns computadores não afetados possam exibir comportamento semelhante a ameaças, cada correspondência a uma das consultas é um achado valioso de busca de ameaças. Estas correspondências incluem atividades de processo invulgares que podem, na verdade, ser tentativas de abuso do CMS vulnerável da Contoso.

No passado, a investigação de ameaças exigia que as organizações completassem processos entediantes e demorados que eram lentos, complexos e frustrantes de lidar. A Microsoft resolveu este problema com o Microsoft Threat Protection, concebido para ser rápido, fácil e simples.

Busca de ameaças na Proteção contra Ameaças da Microsoft

Com soluções de computação e armazenamento baseado em nuvem, as organizações agora podem coletar grandes quantidades de dados com facilidade. No entanto, à medida que conjuntos de dados maiores são armazenados, há uma necessidade cada vez maior de manipulá-los com eficiência e compreensão. É nesse momento que a Proteção contra Ameaças da Microsoft se destaca.

As capacidades de investigação de ameaças no Microsoft Threat Protection permitem que as organizações encontrem ameaças nos seus utilizadores, pontos finais, e-mail, ferramentas de produtividade e aplicações. Depois que a Proteção contra Ameaças localizar essas ameaças, ela sinaliza e corrige-as automaticamente.

O poder da cloud do Azure, juntamente com as informações do Microsoft Intelligent Security Graph, possibilita a Proteção Contra Ameaças da Microsoft. Os passos seguintes fornecem um resumo do processo do Microsoft Threat Protection:

1. No nível mais básico, o Gráfico de Segurança Inteligente coleta todas os dados relacionados à segurança de todos os aplicativos da Microsoft.
2. Em seguida, ele processa essa quantidade enorme de dados de segurança e inteligência contra ameaças em todo o portfólio da Microsoft e compara com indicadores, regras humanas especializadas e algoritmos de ML (aprendizado de máquina) na IA da Microsoft.
3. Depois, o Gráfico de Segurança Inteligente gera alertas significativos, identificando componentes e atividades de ameaças que recursos de investigação e resposta automatizadas (AIR) podem corrigir.

Por exemplo, a Proteção contra Ameaças da Microsoft faz distinção entre tentativas mal-intencionadas e normais de gravar no registro do sistema. Ela faz isso examinando milhões de exemplos de gravações de registro e seus contextos. Estes contextos incluem os ficheiros ou processos envolvidos, pedigrees de ficheiros, alterações efetuadas ao registo, datas e horas de alterações, etc. Com todas essas informações de linha de base, a IA da Microsoft podem gerar alertas com confiança e começar a realizar atividades de correção colocando rapidamente modificações prejudiciais no registro e arquivos associados em quarentena.

A IA da Microsoft e outros sistemas automatizados são eficazes na localização de ameaças. No entanto, a intuição e a flexibilidade humana ainda os supera ao lidar com cenários altamente especializados ou incomuns. Os recursos de busca de ameaças da Proteção contra Ameaças da Microsoft fornecem as ferramentas necessárias para que os analistas humanos os permitam:

• Acessar e manipular com eficiência grandes conjuntos de dados. A interface do Microsoft Threat Protection é fácil de utilizar, é reativa e etiqueta e organiza bem os dados. Ao mesmo tempo, o armazenamento de registos é tão simples como qualquer solução competitiva de armazenamento e computação baseada na cloud. As organizações podem implementar e dimensionar o Microsoft Threat Protection sem integradores de sistema profissionais ou outros especialistas.
• Automatizar o monitoramento de correspondências interessantes para novos dados. O Microsoft Threat Protection monitoriza novas atividades para correspondências com as atividades de ataque que os analistas modelaram. Sem esta automatização, os analistas têm de procurar manualmente correspondências à medida que entram novos dados.

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.