Compreender a análise comportamental

  • 8 minutos

Identificar ameaças dentro da sua organização e o seu potencial impacto – seja uma entidade comprometida ou um insider malicioso – é um processo demorado e trabalhoso. Quando se está a analisar alertas, a ligar os pontos e a caçar ativamente, isso resulta em enormes quantidades de tempo e esforço gastos com retornos mínimos. E a possibilidade de ameaças sofisticadas escaparem à descoberta. Ameaças evasivas, como ameaças persistentes de dia zero, direcionadas e avançadas, podem ser as mais perigosas para sua organização, tornando sua deteção ainda mais crítica.

A capacidade de Comportamento da Entidade no Microsoft Sentinel elimina a monotonia das cargas de trabalho dos seus analistas e a incerteza dos seus esforços. O recurso Entity Behavior oferece alta fidelidade e inteligência acionável, para que eles possam se concentrar na investigação e remediação.

À medida que o Microsoft Sentinel recolhe registos e alertas de todas as fontes de dados conectadas, analisa e constrói perfis comportamentais de base das entidades da sua organização (utilizadores, hosts, endereços IP, aplicações, etc.). A análise é transversal ao horizonte temporal e do grupo de pares. O Microsoft Sentinel utiliza várias técnicas e capacidades de aprendizagem automática, podendo depois identificar atividades anómalas e ajudá-lo a determinar se um ativo está comprometido. Não só isso, mas também pode descobrir a sensibilidade relativa de ativos específicos, identificar grupos pares de ativos e avaliar o impacto potencial de qualquer ativo comprometido (seu "raio de explosão"). Armado com essas informações, você pode efetivamente priorizar sua investigação e tratamento de incidentes.

Visão geral da arquitetura

Diagrama da visão geral da arquitetura UEBA.

Análise orientada para a segurança

A Microsoft adotou o paradigma da Gartner para soluções UEBA, o Microsoft Sentinel oferece uma abordagem "externa para dentro", baseada em três referenciais:

Casos de Uso: O Microsoft Sentinel prioriza vetores de ataque e cenários relevantes com base numa investigação de segurança alinhada com a estrutura MITRE ATT&CK de táticas, técnicas e subtécnicas. A priorização identifica várias entidades como vítimas, perpetradores ou pontos de pivô na cadeia de matança. O Microsoft Sentinel foca-se especificamente nos registos mais valiosos que cada fonte de dados pode fornecer.

Fontes de Dados: Apoiando, acima de tudo, Azure fontes de dados, Microsoft Sentinel seleciona cuidadosamente fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.

Analytics: Microsoft Sentinel utiliza algoritmos de aprendizagem automática (ML) e identifica atividades anómalas que apresentam evidências de forma clara e concisa sob a forma de enriquecimentos contextuais. Veja os exemplos abaixo.

Diagrama mostrando exemplos de enriquecimento de análise orientada por segurança em Microsoft Sentinel.

O Microsoft Sentinel apresenta artefactos que ajudam os seus analistas de segurança a compreender claramente atividades anómalas no contexto e em comparação com o perfil base do utilizador. As ações executadas por um usuário (ou um host, ou um endereço) são avaliadas contextualmente, onde um resultado "verdadeiro" indica uma anomalia identificada:

  • Através de localizações geográficas, dispositivos e ambientes.

  • Através de horizontes de tempo e frequência (em comparação com o próprio histórico do usuário).

  • Em comparação com o comportamento dos pares.

  • Em comparação com o comportamento da organização.

Diagrama que mostra os anéis de contexto UEBA usados para avaliar a atividade do utilizador.

Classificação

Cada atividade é pontuada com "Pontuação de Prioridade de Investigação". A pontuação determina a probabilidade de um usuário específico realizar uma atividade específica com base na aprendizagem comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais elevadas (numa escala de 0 a 10).