Introdução às SecOps (operações de segurança)

  • 5 minutos

Este módulo aborda o tópico de criação de soluções de operações de segurança em ambientes híbridos, multinuvem e de borda, com foco nas soluções da Microsoft para segurança na nuvem, XDR (detecção e resposta estendida) e SIEM (gerenciamento de eventos e informações de segurança).

Imagine que você é um arquiteto de segurança cibernética em uma grande organização que opera em ambientes híbridos, multinuvem e de borda. Você está enfrentando desafios no gerenciamento de operações de maneira consistente em diferentes provedores de nuvem, o que está levando a um aumento de custos e tensão em sua equipe. Você também precisa aprimorar a postura de segurança da sua organização implementando soluções avançadas de segurança cibernética e automatizando processos de resposta a incidentes. Este módulo orienta você pelo processo de implementação de operações unificadas e aprimoramento da segurança usando as soluções da Microsoft.

Objetivos do aprendizado

Neste módulo, você saberá como:

  • Criar recursos de operações de segurança em ambientes híbridos e multinuvem
  • Criar registro em log centralizado e auditoria
  • Criar soluções SIEM (gerenciamento de eventos e informações de segurança)
  • Criar uma solução para detecção e resposta que inclua XDR (Detecção e Resposta Estendida)
  • Criar uma solução para SOAR (orquestração de segurança, automação e resposta)
  • Criar fluxos de trabalho de segurança
  • Criar e avaliar a detecção de ameaças com a estrutura MITRE ATT&CK

O conteúdo no módulo ajuda você a se preparar para o exame de certificação SC-100: Arquiteto de Segurança Cibernética da Microsoft.

Pré-requisitos

  • Experiência e conhecimento avançados em identidade e acesso, proteção de plataforma, operações de segurança e proteção de dados e aplicativos.
  • Experiência com implementações híbridas e de nuvem.

Introdução às SecOps (operações de segurança)

O principal objetivo de uma função de SecOps (operações de segurança de nuvem) é detectar, ataques ativos em recursos corporativos, além de responder e se recuperar deles.

Conforme o SecOps amadurece, as operações de segurança devem:

  • Responder de maneira reativa aos ataques detectados pelas ferramentas
  • Buscar de maneira proativa os ataques que não foram detectados nas detecções reativas passadas

Visão geral da estratégia de operações de segurança

Uma das mudanças de perspectiva principais que é marca registrada de uma estrutura de segurança Confiança Zero é o afastamento da relação de confiança por padrão em prol de uma relação de confiança por exceção. No entanto, isso ainda requer uma maneira confiável de estabelecer confiança quando ela é necessária. Como você não pressupõe mais que as solicitações sejam confiáveis, é essencial estabelecer um meio de atestar a confiabilidade da solicitação para provar sua confiabilidade em cada caso. Esse atestado exige obter visibilidade das atividades em relação à solicitação.

Todos esses investimentos aumentam sua visibilidade, o que proporciona a você dados melhores para tomar decisões de confiança. No entanto, a adoção de uma abordagem de Confiança Zero em outras áreas, como identidades, pontos de extremidade, infraestrutura e redes, aumenta o número de incidentes que os analistas do SOC (centro de operações de segurança) precisam atenuar.

Diagrama que mostra as funcionalidades integradas de uma abordagem de confiança zero.

Com cada uma dessas áreas individuais gerando os alertas relevantes, uma funcionalidade integrada é necessária para gerenciar o influxo resultante de dados a fim de nos defendermos melhor contra ameaças e validarmos a confiança em uma transação.

Funções de operações de segurança

Diagrama que mostra as funções de Operações de segurança (camadas).

Frequentemente, as equipes de operações de segurança se concentram em três resultados principais:

  • Gerenciamento de incidentes: Gerenciar ataques ativos no ambiente, incluindo:
    • Respondendo reativamente a ataques detectados.
    • Buscando proativamente ataques que escaparam de detecções tradicionais de ameaças.
    • Coordenando as implicações legais, de comunicação e comerciais de outros tipos geradas por incidentes de segurança.
  • Preparação para incidentes: ajuda a organização a se preparar para futuros ataques. A preparação para incidentes é um conjunto estratégico mais amplo de atividades que visam à criação de um contexto e de uma memória em todos os níveis da organização. Essa estratégia prepara as pessoas para lidar melhor com ataques de maior porte e informar-se sobre melhorias no processo de segurança.
  • Inteligência contra ameaças: coleta, processamento e disseminação da inteligência contra ameaças em equipes de operações de segurança, segurança, liderança de segurança e parceiros de liderança de negócios por meio da equipe de liderança de segurança.

Para entregar esses resultados, as equipes de operações de segurança devem ser estruturadas para se concentrar em resultados-chave. Em equipes de SecOps maiores, os resultados geralmente são divididos entre as subequipes.

  • Triagem (camada 1): A linha de frente da resposta para incidentes de segurança. A triagem concentra-se no processamento de alto volume de alertas e, normalmente, é gerada por automação e ferramentas. Os processos de triagem resolvem na própria equipe a maioria dos tipos de incidentes comuns. Incidentes mais complexos ou novos tipos de incidentes devem ser escalonados para a camada 2.
  • Investigação (camada 2): concentra-se em incidentes que exigem mais investigações, muitas vezes exigindo a correlação de pontos de dados de várias fontes. Essa camada de investigação procura fornecer soluções repetíveis para problemas encaminhados a essa equipe. Isso permite que a camada 1 resolva recorrências desse tipo de problema. A camada 2 também responde a alertas em sistemas comercialmente críticos, para refletir a gravidade do risco e a necessidade de ação rápida.
  • Busca (camada 3): concentra-se principalmente na busca proativa de processos de ataque altamente sofisticados e no desenvolvimento de diretrizes para equipes mais amplas, visando ao desenvolvimento de controles de segurança. A equipe da camada 3 também atua como ponto de escalonamento para incidentes importantes, para oferecer suporte a análises e respostas na esfera forense.

Modernização

Atualmente, a detecção e a resposta a ameaças estão passando por uma modernização significativa em todos os níveis.

  • Elevação para gerenciamento de riscos de negócios: o SOC está se transformando em um componente fundamental do gerenciamento de riscos de negócios para a organização
  • Métricas e metas: O acompanhamento da eficácia do SOC está evoluindo de "tempo para detectar" para estes indicadores principais:
    • Capacidade de resposta por meio do MTTA (tempo médio de reconhecimento).
    • Velocidade de correção por meio do MTTR (tempo médio de correção).
  • Evolução da tecnologia: a tecnologia do SOC está evoluindo do uso exclusivo da análise estática de logs em um SIEM para adicionar o uso de ferramentas especializadas e técnicas de análise sofisticadas. Isso fornece insights detalhados sobre os ativos que fornecem alertas de alta qualidade e experiência de investigação que complementam a exibição de amplitude do SIEM. Os dois tipos de ferramentas estão usando cada vez mais a IA e o machine learning, a análise de comportamento e a inteligência integrada contra ameaças para ajudar a identificar e priorizar ações anormais que possam ser um invasor mal-intencionado.
  • Busca de ameaças: os SOCs estão adicionando a busca de ameaças orientadas por hipótese para identificar de maneira proativa invasores avançados e deslocar os alertas com ruído para fora das filas de analistas de linha de frente.
  • Gerenciamento de incidentes: a disciplina está se tornando formalizada para coordenar elementos não técnicos de incidentes com equipes legais, comunicações e outras equipes. Integração do contexto interno: para ajudar a priorizar atividades do SOC, como as pontuações de risco relativas de contas de usuário e dispositivos, a confidencialidade de dados e aplicativos e os principais limites de isolamento de segurança para proteção rigorosa.

Composição da equipe e relações principais

Em geral, o centro de operações de segurança de nuvem é formado pelos tipos de funções a seguir.

  • Operações de TI (fechamento de um contato regular)
  • Inteligência contra ameaças
  • Arquitetura de segurança
  • Programa de risco interno
  • Recursos legais e humanos
  • Equipes de comunicação
  • Organização de risco (se presente)
  • Associações, comunidades e fornecedores específicos do setor (antes que ocorra um incidente)