Visibilidade, automação e orquestração com a Confiança Zero

  • Artigo

Uma das mudanças de perspectiva principais que é marca registrada de uma estrutura de segurança Confiança Zero é o afastamento da relação de confiança por padrão em prol de uma relação de confiança por exceção. No entanto, você precisa ter uma maneira confiável de estabelecer confiança quando a confiança é necessária. Como você não pressupõe mais que as solicitações sejam confiáveis, é essencial estabelecer um meio de atestar a confiabilidade da solicitação para provar sua confiabilidade em cada caso. Esse atestado exige a capacidade de obter visibilidade das atividades em relação à solicitação.

Em nossos outros guias Confiança Zero, definimos a abordagem à implementação de Confiança Zero de ponta a ponta entre identidades, pontos de extremidade e dispositivos, dados, aplicativos, infraestrutura e rede. Todos esses investimentos aumentam sua visibilidade, o que proporciona a você dados melhores para tomar decisões de confiança. No entanto, ao adotar uma abordagem de Confiança Zero nessas seis áreas, você necessariamente aumentará o número de incidentes que os analistas da SOC (Central de Operações de Segurança) precisam reduzir. Seus analistas ficarão mais ocupados do que nunca em uma época que já apresenta poucos talentos na área. Isso pode levar à fadiga crônica de alerta e fazer com que os analistas deixem passar alertas críticos.

Diagrama de funcionalidades integradas para gerenciar ameaças.

Com cada uma dessas áreas individuais gerando os próprios alertas relevantes, precisamos de uma funcionalidade integrada para gerenciar o influxo resultante de dados a fim de nos defendermos melhor contra ameaças e validarmos a confiança em uma transação.

Você deseja ter a capacidade de:

  • Detectar ameaças e vulnerabilidades.
  • Investigar.
  • Responder.
  • Buscar.
  • Fornecer contexto adicional por meio da análise de ameaças.
  • Avaliar vulnerabilidades.
  • Obter ajuda de especialistas de renome mundial
  • Impedir ou bloquear eventos em todos os pilares.

O gerenciamento de ameaças inclui detecção reativa e proativa e requer ferramentas que deem suporte a ambos.

A detecção reativa ocorre quando os incidentes são disparados em um dos seis pilares que podem ser investigados. Além disso, um produto de gerenciamento, como um SIEM, provavelmente dará suporte a outra camada de análise que enriquecerá e correlacionará os dados, resultando na sinalização de um incidente como inadequado. A próxima etapa seria investigar o ataque para obter a narrativa completa.

Detecção proativa é quando você aplica busca aos dados para comprovar uma hipótese de comprometimento. A busca de ameaças começa com a suposição de que você foi violado; há uma busca para provar que houve uma violação.

A busca de ameaças começa com uma hipótese baseada em ameaças atuais, como ataques de phishing envolvendo COVID-19. Os analistas começam com essa ameaça hipotética, identificam os principais indicadores de comprometimento e buscam os dados para ver se há alguma prova de que o ambiente foi comprometido. Se houver indicadores, os cenários de busca podem resultar em análises que notificarão as organizações se os determinados indicadores ocorrerem novamente.

De qualquer forma, depois que um incidente for detectado, você precisará investigar para conhecer a história completa do ataque. O que mais o usuário fez? Quais outros sistemas foram envolvidos? Quais executáveis foram executados?

Se uma investigação resultar em aprendizados acionáveis, você poderá tomar medidas de correção. Por exemplo, se uma investigação descobrir lacunas em uma implantação de confiança zero, as políticas poderão ser modificadas para resolver essas lacunas e evitar futuros incidentes indesejados. Sempre que possível, é desejável automatizar as etapas de correção, pois isso reduz o tempo necessário para que um analista do SOC resolva a ameaça e passe para o próximo incidente.

Outro componente importante da avaliação de ameaças é incorporar inteligência de ameaça conhecida em relação aos dados ingeridos. Se for sabido que um IP, hash, URL, arquivo, executável, etc. é defeituoso, ele poderá ser identificado, investigado e corrigido.

No pilar de infraestrutura, tempo foi gasto no tratamento de vulnerabilidades. Se for sabido que um sistema é vulnerável e uma ameaça se beneficiar dessa vulnerabilidade, isso é algo que poderia ter sido detectado, investigado e corrigido.

Para usar essas táticas a fim de gerenciar ameaças, você deve ter um console central para permitir que os administradores do SOC detectem, investiguem, corrijam, busquem, utilizem inteligência contra ameaças, entendam vulnerabilidades conhecidas, usem os serviços de especialistas em ameaças e bloqueiem ameaças em qualquer um dos seis pilares. As ferramentas necessárias para dar suporte a essas fases funcionam melhor se forem reunidas em um único fluxo de trabalho, o que fornece uma experiência simples que aumenta a eficácia do analista do SOC.

Os centros de operações de segurança geralmente implantam uma combinação de tecnologias SIEM e SOAR para coletar, detectar, investigar e responder a ameaças. A Microsoft oferece o Microsoft Sentinel como a oferta de SIEM como serviço. O Microsoft Sentinel ingere todos os dados do Microsoft Defender para Identidade e de terceiros.

A MTP (Proteção contra Ameaças da Microsoft), um feed importante para o Microsoft Sentinel, fornece um pacote empresarial de defesa unificado que oferece proteção, detecção e resposta com reconhecimento de contexto a todos os componentes do Microsoft 365. Por ser coordenado e com reconhecimento de contexto, os clientes que usam o Microsoft 365 podem obter visibilidade e proteção entre pontos de extremidade, ferramentas de colaboração, identidades e aplicativos.

É por meio dessa hierarquia que permitimos que nossos clientes maximizem seu foco. Por meio do reconhecimento de contexto e da correção automatizada, o MTP pode detectar e interromper muitas ameaças sem gerar mais fadiga de alertas à equipe do SOC já sobrecarregada. A busca avançada dentro da MTP traz esse contexto para a busca a fim de se concentrar em vários pontos de ataque importantes. E a busca e a orquestração em todo o ecossistema por meio do Microsoft Sentinel oferecem a capacidade de obter a visibilidade certa de todos os aspectos de um ambiente heterogêneo, minimizando a sobrecarga cognitiva do operador.

Objetivos de visibilidade, automação e orquestração da implantação de Confiança Zero

Ao implementar uma estrutura de Confiança Zero de ponta a ponta para visibilidade, automação e orquestração, recomendamos que você se concentre primeiro nestes objetivos de implantação iniciais:

Ícone de lista com uma marca de seleção.

I.Essabelecer visibilidade.

II.Habilitar a automação.

Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:

Ícone de lista com duas marcas de seleção.

III.Habilite controles adicionais de proteção e detecção.

Guia de visibilidade, automação e orquestração da implantação de Confiança Zero

Este guia explicará as etapas necessárias para gerenciar a visibilidade, a automação e a orquestração seguindo os princípios de uma estrutura de segurança de Confiança Zero.




Ícone de lista de verificação com uma marca de verificação.

Objetivos de implantação inicial

I. Estabelecer visibilidade

A primeira etapa é estabelecer a visibilidade habilitando a MTP ( Proteção contra Ameaças da Microsoft).

Siga estas etapas:

  1. Inscreva-se em uma das cargas de trabalho da Proteção contra Ameaças da Microsoft.
  2. Habilite as cargas de trabalho e estabeleça a conectividade.
  3. Configure a detecção em seus dispositivos e na infraestrutura para trazer visibilidade imediata sobre atividades em andamento no ambiente. Isso dá a você o "tom de discagem" que é importante para iniciar o fluxo de dados críticos.
  4. Habilite a Proteção contra Ameaças da Microsoft para obter visibilidade e detecção de incidentes entre cargas de trabalho.

II. Habilitar automação

A próxima etapa principal, depois de ter estabelecido a visibilidade, é habilitar a automação.

Investigações e correções automatizadas

Com a Proteção contra Ameaças da Microsoft, nós automatizamos investigações e correções, o que basicamente fornece uma análise de SOC extra de Camada 1.

AIR(Investigação e correção automatizadas) podem ser habilitadas gradualmente, ou seja, você pode se familiarizar gradualmente com as ações realizadas.

Siga estas etapas:

  1. Habilite a AIR para um grupo de teste.
  2. Analise as etapas de investigação e as ações de resposta.
  3. Passe gradualmente para a aprovação automática de todos os dispositivos a fim de reduzir o tempo de detecção e resposta.

A fim de obter visibilidade sobre os incidentes resultantes da implantação de um modelo de Confiança Zero, é importante conectar a MTP, outros conectores de dados da Microsoft e produtos de terceiros relevantes ao Microsoft Sentinel para contar com uma plataforma centralizada de investigação e resposta a incidentes.

Como parte do processo de conexão de dados, é possível habilitar a análise relevante para disparar incidentes e criar pastas de trabalho para uma representação gráfica dos dados ao longo do tempo.

Embora o machine learning e a análise de fusão sejam fornecidos prontos para uso, também convém ingerir dados de inteligência contra ameaças no Microsoft Sentinel para ajudar a identificar eventos relacionados a entidades ruins conhecidas.




Ícone de lista de verificação com duas marcas de seleção.

Objetivos de implantação adicionais

III. Habilitar controles adicionais de proteção e detecção

A habilitação de controles adicionais melhora o sinal de entrada para a MTP e o Sentinel, o que melhora sua visibilidade e a capacidade de orquestrar respostas.

Os controles de redução da superfície de ataque representam essa oportunidade. Esses controles de proteção não apenas bloqueiam determinadas atividades que são mais associadas a malware, mas também fornecem tentativas de usar abordagens específicas, o que pode ajudar a detectar adversários que tiraram proveito dessas técnicas anteriormente.

Produtos abordados neste guia

Microsoft Azure

Microsoft Defender para Identidade

Microsoft Sentinel

Microsoft 365

Proteção contra Ameaças da Microsoft



A série de guias de implantação de Confiança Zero

Ícone da introdução

Ícone da identidade

Ícone dos pontos de extremidade

Ícone dos aplicativos

Ícone dos dados

Ícone da infraestrutura

Ícone de redes

Ícone de visibilidade, automação, orquestração