Descripción de las alertas de seguridad
En Microsoft Defender for Cloud, hay varias alertas para muchos tipos de recursos diferentes. Defender for Cloud genera alertas para los recursos implementados en Azure y para los recursos implementados en entornos de nube locales e híbridos. Las detecciones avanzadas desencadenan alertas de seguridad y solo están disponibles con Defender for Cloud.
Responder a las amenazas actuales
En los últimos 20 años se han producido cambios significativos en el panorama de amenazas. En el pasado, las empresas normalmente solo tenían que preocuparse por la desfiguración de sitios web por parte de atacantes individuales que estaban principalmente interesados en ver de lo que eran capaces. Los atacantes de hoy son mucho más sofisticados y organizados. A menudo tienen objetivos financieros y estratégicos específicos. También tienen más recursos disponibles para ellos, ya que podrían ser financiados por los estados nacionales o el crimen organizado.
Estas realidades cambiantes han llevado a un nivel sin precedentes de profesionalismo en las filas de los atacantes. Ya no les interesa alterar los sitios web. Ahora están interesados en robar información, cuentas financieras y datos privados, todos los cuales pueden usar para generar efectivo en el mercado abierto o usar una posición empresarial, política o militar determinada. Incluso más que los atacantes con un objetivo financiero son los que vulneran las redes para dañar la infraestructura y las personas.
Como respuesta, las organizaciones suelen implementar varias soluciones específicas, que se centran en defender el perímetro o los puntos de conexión de la empresa mediante la búsqueda de firmas de ataque conocidas. Estas soluciones tienden a generar un gran volumen de alertas de baja fidelidad, que requieren que un analista de seguridad evalúe e investigue. La mayoría de las organizaciones carecen del tiempo y la experiencia necesarios para responder a estas alertas, por lo que muchas quedan sin atender.
Además, los atacantes han evolucionado sus métodos para subvertir muchas defensas basadas en firmas y adaptarse a entornos en la nube. Se requieren nuevos enfoques para identificar más rápidamente las amenazas emergentes y acelerar la detección y la respuesta.
¿Qué son las alertas de seguridad y los incidentes de seguridad?
Las alertas son notificaciones que Defender for Cloud genera cuando detecta amenazas en los recursos. Defender for Cloud prioriza y enumera las alertas, junto con la información necesaria para investigar rápidamente el problema. Defender for Cloud también proporciona recomendaciones sobre el modo en que puede corregir un ataque.
Un incidente de seguridad es una colección de alertas relacionadas en lugar de enumerar cada alerta individualmente. Defender for Cloud usa la correlación de alertas inteligentes en la nube para correlacionar diferentes alertas y señales de baja fidelidad en incidentes de seguridad.
Con los incidentes de seguridad, Defender for Cloud proporciona una vista única de una campaña de ataque y todas las alertas relacionadas. Esta vista le permite comprender rápidamente qué acciones ha llevado a cabo el atacante y qué recursos se han visto afectados. Para más información, consulte Correlación de alertas inteligentes en la nube.
¿Cómo detecta Defender for Cloud amenazas?
Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Debido a nuestra presencia global en la nube y en el entorno local, tenemos acceso a un amplio conjunto de telemetría. La amplia colección de conjuntos de datos nos permite detectar nuevos patrones de ataque y tendencias en nuestros productos empresariales y consumidores locales, así como nuestros servicios en línea. Como resultado, Defender for Cloud puede actualizar rápidamente sus algoritmos de detección a medida que los atacantes lanzan vulnerabilidades de seguridad nuevas y cada vez más sofisticadas. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.
Para detectar amenazas reales y reducir falsos positivos, Defender for Cloud recopila, analiza e integra los datos de registro de los recursos de Azure y la red. También funciona con soluciones de asociados conectadas, como firewall y soluciones de protección de puntos de conexión. Defender for Cloud analiza esta información, a menudo correlacionando información de varios orígenes, para identificar amenazas.
Defender for Cloud emplea análisis de seguridad avanzados, que van mucho más allá de los enfoques basados en firmas. Los avances en las tecnologías de macrodatos y aprendizaje automático se usan para evaluar eventos en todo el tejido en la nube: detectar amenazas que serían imposibles de identificar mediante enfoques manuales y predecir la evolución de los ataques. Estos análisis de seguridad incluyen:
Inteligencia sobre amenazas integrada: Microsoft tiene una gran cantidad de inteligencia sobre amenazas global. La telemetría fluye desde varios orígenes, como Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, microsoft Digital Crimes Unit (DCU) y Microsoft Security Response Center (MSRC). Los investigadores también reciben información de inteligencia sobre amenazas compartida entre los principales proveedores de servicios en la nube y fuentes de otros terceros. Defender for Cloud puede usar esta información para avisarle de las amenazas de actores incorrectos conocidos.
Análisis de comportamiento: análisis de comportamiento es una técnica que analiza y compara datos con una colección de patrones conocidos. No obstante, estos patrones no son simples firmas. Están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos. También se determinan mediante un análisis cuidadoso de comportamientos malintencionados por analistas expertos. Defender for Cloud puede usar análisis de comportamiento para identificar recursos comprometidos en función del análisis de registros de máquinas virtuales, registros de dispositivos de red virtual, registros de sistema y otros orígenes.
Detección de anomalías: Defender for Cloud también usa la detección de anomalías para identificar amenazas. A diferencia del análisis de comportamiento (que depende de patrones conocidos derivados de grandes conjuntos de datos), la detección de anomalías es más "personalizada" y se centra en las líneas base específicas de las implementaciones. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones. A continuación, se generan reglas para definir condiciones atípicas que podrían representar un evento de seguridad.
¿Cómo se clasifican las alertas?
Defender for Cloud asigna una gravedad a las alertas para ayudarle a priorizar el orden en el que responde a cada alerta, por lo que cuando un recurso está en peligro, puede llegar a él inmediatamente. La gravedad se basa en la confianza que Defender for Cloud tiene en el hallazgo, o en el análisis empleado para emitir la alerta, y en el nivel de confianza de que había una intención malintencionada detrás de la actividad que desencadenó la alerta.
Alto: hay una probabilidad alta de que el recurso esté en peligro. Deberías mirarlo de inmediato. Defender for Cloud tiene una elevada confianza en la intención malintencionada y en los resultados usados para emitir la alerta. Por ejemplo, una alerta detecta la ejecución de una herramienta malintencionada conocida como Mimikatz, una herramienta común que se usa para el robo de credenciales.
Medio: esta gravedad indica que probablemente es una actividad sospechosa que podría indicar que un recurso está en peligro. La confianza de Defender for Cloud en el análisis o la búsqueda es media y la confianza de la intención malintencionada es media a alta. Normalmente, se trata de detecciones basadas en anomalías o aprendizaje automático. Por ejemplo, un intento de inicio de sesión desde una ubicación anómala.
Bajo: Esta categoría de gravedad indica que podría tratarse de un positivo benigno o un ataque bloqueado.
Defender for Cloud no está seguro de que la intención es malintencionada y que la actividad podría ser inocente. Por ejemplo, la eliminación del registro es una acción que puede ocurrir cuando un atacante intenta ocultar sus pistas, pero en muchos casos es una operación rutinaria realizada por los administradores.
Defender for Cloud no suele avisarle cuándo se bloquearon los ataques a menos que sea un caso interesante en el que le sugerimos que examine.
Informativo: solo verá alertas informativas al explorar en profundidad un incidente de seguridad o si usa la API REST con un identificador de alerta específico. Normalmente, un incidente se compone de muchas alertas, algunas de las cuales pueden aparecer por sí mismas para ser solo informativas, pero en el contexto de las otras alertas puede ser digno de una mirada más detallada.
Supervisión y evaluaciones continuas
Defender for Cloud se beneficia de tener equipos de investigación de seguridad y ciencia de datos en Microsoft que supervisan continuamente los cambios en el panorama de amenazas. Esto incluye las siguientes iniciativas:
Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y consejos prácticos sobre las amenazas nuevas o existentes. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de orígenes internos y externos.
Uso compartido de señales: la información que recopilan los equipos de seguridad en la amplia cartera de servicios tanto locales como en la nube, de servidores y de dispositivos cliente de punto de conexión de Microsoft se comparte y se analiza.
Especialistas en seguridad de Microsoft colaboración continua con equipos de Microsoft que trabajan en campos de seguridad especializados, como análisis forense y detección de ataques web.
Ajuste de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan en conjunción con los clientes para validar los resultados. Los verdaderos y falsos positivos se usan para refinar los algoritmos de aprendizaje automático.
Descripción de los tipos de alerta
La lista de referencias de alerta actual contiene más de 500 tipos de alertas. La lista de referencias se puede revisar en: Alertas de seguridad: una guía de referencia
Cada tipo de alerta tiene una descripción, una gravedad y una táctica de MITRE ATT&CK
Tácticas de MITRE ATT&CK
Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Defender for Cloud incluyen las tácticas de MITRE con muchas alertas. La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".
Las intenciones de la cadena de terminación admitidas de Defender for Cloud se basan en la versión 7 de la matriz de MITRE ATT&CK y se describen en la tabla siguiente.
| Táctica | Descripción |
|---|---|
| PreAttack | PreAttack podría ser un intento de acceder a un determinado recurso independientemente de la intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada. |
| InitialAccess | InitialAccess es la fase en la que un atacante logra obtener acceso al recurso atacado. Esta fase es relevante para hosts de computación y recursos como cuentas de usuario, certificados, etc. Los ciberatacantes a menudo podrán asumir el control del recurso después de esta fase. |
| Persistence | La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un actor de amenazas una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso. |
| Escalación de Privilegios | La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Algunas herramientas o acciones requieren un mayor nivel de privilegio para trabajar y es probable que sean necesarias en muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también pueden considerarse una escalación de privilegios. |
| DefenseEvasion | La evasión de defensa consiste en técnicas que un adversario puede usar para eludir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada. |
| CredentialAccess | El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial. Es probable que los adversarios intenten obtener credenciales legítimas de usuarios o cuentas de administrador (administradores del sistema local o usuarios de dominio con acceso de administrador) para usarlos en la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| Descubrimiento | La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben alinearse con lo que ahora tienen control y qué ventajas de operar de ese sistema dan a su objetivo actual o objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase posterior a la recopilación de información. |
| LateralMovement | El movimiento lateral consta de técnicas que permiten que un adversario acceda a sistemas remotos y controle los sistemas remotos en una red y nube, pero no necesariamente, incluye la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, el desplazamiento a más sistemas, el acceso a información o archivos específicos, el acceso a otras credenciales o causar un efecto. |
| Ejecución | La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto. Esta táctica se usa a menudo con el movimiento lateral para expandir el acceso a sistemas remotos en una red. |
| Collection | La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar. |
| Exfiltration | La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar. |
| CommandAndControl | La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino. |
| Impacto | Los eventos de impacto tratan principalmente de reducir directamente la disponibilidad o integridad de un sistema, servicio o red, incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto suele hacer referencia a técnicas como ransomware, desfiguración, manipulación de datos y otras. |