Descripción de las alertas de seguridad
En Microsoft Defender for Cloud, hay varias alertas para muchos tipos de recursos diferentes. Defender for Cloud genera alertas para los recursos implementados en Azure, así como para los recursos implementados en entornos locales y en la nube híbrida. Las alertas de seguridad se desencadenan mediante detecciones avanzadas y solo están disponibles con Defender for Cloud.
Respuesta a las amenazas actuales
En los últimos 20 años, las amenazas han cambiado considerablemente. Por lo general, antiguamente, las empresas solo tenían que preocuparse por las alteraciones que atacantes realizaban en sus sitios web, quienes normalmente solo pretendían comprobar "qué es lo que eran capaces de hacer". Hoy en día, los atacantes son mucho más sofisticados y están más organizados. Normalmente, se mueven por un fin económico o estratégico. También disponen de más recursos, ya que a veces podrían estar financiados por estados o por el crimen organizado.
Estas realidades cambiantes han propiciado un nivel de profesionalidad entre los atacantes que no tiene precedentes. Ya no les interesa alterar los sitios web. Ahora, lo que buscan es robar información, cuentas financieras y datos privados, que pueden usar con fines lucrativos en el mercado libre o para sacar provecho de una determinada situación política, militar o empresarial. Si los atacantes con un objetivo financiero son motivo de preocupación, aún lo son más los que pretenden abrir una brecha en las redes para dañar la infraestructura o infligir daños personales.
Como respuesta, las organizaciones suelen implementar varias soluciones específicas, que se centran en defender el perímetro o los puntos de conexión de la empresa mediante la búsqueda de firmas de ataque conocidas. Estas soluciones suelen generar un gran número de alertas con un bajo nivel de confiabilidad, lo que requiere que un analista de seguridad las cribe e investigue. La mayor parte de las organizaciones no disponen de la experiencia ni del tiempo necesarios para responder a estas alertas, por lo que muchas quedan desatendidas.
Además, los atacantes han mejorado sus métodos para debilitar muchas de las defensas basadas en firmas y para adaptarse a los entornos en la nube. Por tanto, se necesitan nuevos enfoques que permitan identificar con mayor rapidez las nuevas amenazas, así como acelerar su detección y respuesta.
¿Qué son las alertas de seguridad y los incidentes de seguridad?
Las alertas son notificaciones que Defender for Cloud genera cuando detecta amenazas en los recursos. Defender for Cloud asigna prioridades y enumera las alertas, junto con la información necesaria para que pueda investigar rápidamente el problema. Defender for Cloud también proporciona recomendaciones sobre el modo en que puede corregir un ataque.
Un incidente de seguridad es una colección de alertas relacionadas, en lugar de una enumeración de alertas individuales. Defender for Cloud usa la correlación de alertas inteligentes en la nube para correlacionar diferentes alertas y señales de baja fidelidad en incidentes de seguridad.
Con los incidentes de seguridad, Defender for Cloud proporciona una vista única de una campaña de ataques y todas las alertas relacionadas. Esta vista le permite comprender rápidamente las acciones que ha realizado el atacante y qué recursos se han visto afectados. Para obtener más información, consulte Correlación de alertas inteligentes en la nube.
¿Cómo detecta Defender for Cloud las amenazas?
Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Dada nuestra presencia global en la nube y en sistemas locales, tenemos acceso a un amplio conjunto de recursos de telemetría. La amplitud y diversidad de estas colecciones de conjuntos de datos nos permite detectar nuevos patrones y tendencias de ataque tanto en nuestros productos locales, destinados a particulares y empresas, como en nuestros servicios en línea. Como resultado, Defender for Cloud es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevas y más sofisticadas vulnerabilidades de seguridad. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.
Para detectar amenazas reales y reducir los falsos positivos, Defender for Cloud recopila, analiza e integra los datos de registro de los recursos de Azure y de la red. También funciona con soluciones de asociados conectados, como firewalls y soluciones de protección de puntos de conexión. Defender for Cloud analiza estos datos (a menudo, relacionando la información de diferentes orígenes) para identificar las amenazas.
Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques basados en firmas. Los grandes avances registrados en las tecnologías de macrodatos y aprendizaje automático se usan para evaluar eventos en todo el tejido de la nube, lo que permite identificar amenazas que no se podrían identificar con métodos manuales, así como predecir la evolución de los ataques. Estas técnicas de análisis son:
Información integrada sobre amenazas: Microsoft dispone de una ingente cantidad de información sobre amenazas globales. Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC). Los investigadores también cuentan con la información sobre amenazas que comparten los principales proveedores de servicios en la nube y que procede de fuentes de terceros. Defender for Cloud puede usar esta información para alertar sobre amenazas de actores malintencionados conocidos.
Análisis del comportamiento: El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos. No obstante, estos patrones no son simples firmas. Están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos. También se determinan por medio de un análisis cuidadoso de los comportamientos malintencionados, llevado a cabo por analistas expertos. Defender for Cloud puede usar el análisis de comportamiento para identificar recursos en peligro a partir del análisis de registros de máquinas virtuales, de dispositivos de red virtual y de tejido, así cómo de otros orígenes.
Detección de anomalías: Defender for Cloud también usa la detección de anomalías para identificar amenazas. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más "personalizada" y se basa en referencias que son específicas de las implementaciones. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones. A continuación, se generan reglas para definir condiciones de valores atípicos que podrían representar un evento de seguridad.
¿Cómo se clasifican las alertas?
Defender for Cloud asigna una gravedad a las alertas, lo que le ayuda a priorizar el orden en el que responde a cada alerta, de modo que cuando un recurso está en peligro, puede dedicarse a él inmediatamente. La gravedad se basa en la confianza que tiene Defender for Cloud en la búsqueda o en el análisis utilizado para emitir la alerta, así como en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha generado la alerta.
Alto: hay una probabilidad elevada de que el recurso esté en peligro. Debe investigarse de inmediato. El grado de certeza de Defender for Cloud sobre la mala intención de la acción y los hallazgos utilizados para emitir la alerta es elevado. Por ejemplo, una alerta detecta la ejecución de una herramienta malintencionada conocida como Mimikatz, una herramienta común que se usa para el robo de credenciales.
Medio: esta gravedad indica que es probable que sea una actividad sospechosa que podría indicar que un recurso está en peligro. El grado de certeza de Defender for Cloud sobre el análisis o los hallazgos es medio, mientras que el grado de certeza sobre la mala intención es medio o alto. Suelen tratarse de detecciones basadas en anomalías o aprendizaje automático. Por ejemplo, un intento de inicio de sesión desde una ubicación anómala.
Bajo: esta gravedad indica que podría tratarse de un hallazgo benigno o de un ataque bloqueado.
Defender for Cloud no tiene la certeza suficiente de que la intención fuera mala y la actividad pudiera ser inofensiva. Por ejemplo, borrar un registro es una acción que podría producirse si un atacante intenta ocultar sus huellas, pero en muchos casos es una operación rutinaria que realizan los administradores.
Por lo general, Defender for Cloud no avisa cuando se bloquean ataques, a menos que se considere un caso interesante que convenga examinar.
Informativo: solo verá las alertas informativas cuando explore en profundidad un incidente de seguridad, o si usa la API REST con un determinado identificador de alerta. Normalmente, un incidente suele constar de muchas alertas, algunas de las cuales podrían parecer meramente informativas, aunque a tenor de otras alertas podría ser conveniente investigarlas.
Supervisión y evaluaciones continuas
Defender for Cloud se beneficia de tener equipos de ciencia de datos e investigación de seguridad en Microsoft que supervisan continuamente los cambios en el panorama de amenazas. Estos son algunas de las iniciativas que llevan a cabo:
Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y notificaciones para las amenazas nuevas o existentes. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de orígenes internos y externos.
Uso compartido de señales: la información que recopilan los equipos de seguridad en la amplia cartera de servicios tanto locales como en la nube, de servidores y de dispositivos cliente de punto de conexión de Microsoft se comparte y se analiza.
Especialistas en seguridad de Microsoft colaboración continua con equipos de Microsoft que trabajan en campos de seguridad especializados, como análisis forense y detección de ataques web.
Ajuste de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan en conjunción con los clientes para validar los resultados. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.
Comprender los tipos de alerta
La lista de referencia de alertas actual contiene más de 500 tipos de alertas. La lista de referencia se puede revisar en Alertas de seguridad: una guía de referencia.
Cada tipo de alerta tiene una descripción, una gravedad y una táctica de MITRE ATT&CK.
Tácticas de MITRE ATT&CK
Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Defender for Cloud incluyen las tácticas de MITRE con muchas alertas. La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".
Las intenciones de la cadena de terminación admitidas de Defender for Cloud se basan en la versión 7 de la matriz MITRE ATT&CK y se describen en la tabla siguiente.
| Táctica | Descripción |
|---|---|
| PreAttack | PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada. |
| InitialAccess | InitialAccess es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. Los actores de amenazas suelen ser capaces de controlar el recurso después de esta fase. |
| Persistencia | La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso. |
| PrivilegeEscalation | La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios alcancen su objetivo también se pueden considerar como una elevación de privilegios. |
| DefenseEvasion | La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada. |
| CredentialAccess | El acceso con credenciales representa una serie de técnicas dentro de un entorno empresarial para acceder a un sistema, dominio o credenciales de servicio, así como para controlarlos. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| Detección | La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro. |
| LateralMovement | El movimiento lateral se compone de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y nube, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a otras credenciales o la causa de un efecto. |
| Ejecución | La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse con el movimiento lateral para expandir el acceso a los sistemas remotos de una red. |
| Colección | La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| Filtración | La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| CommandAndControl | La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
| Impacto | Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial u operativo. Esto suele hacer referencia a técnicas como ransomware, desmiración, manipulación de datos y otros. |