Conhecer as buscas de ameaças usadas na segurança cibernética
O termo "busca de ameaças" é definido de forma distinta por diferentes grupos de pessoas. A definição mais comum usada é a ideia de buscar proativamente no ambiente uma ameaça ou um conjunto de atividades que ainda não foi detectado. A parte "não detectada anteriormente" é o que diferencia a busca de ameaças da resposta a incidentes ou da triagem de alerta.
Outros usos do termo busca incluem a procura de ameaças com indicadores recém obtidos. Se um feed de inteligência contra ameaças fornecer um novo endereço IP considerado prejudicial, o analista poderá pegar o endereço IP e pesquisar nos logs para descobrir se o novo indicador foi visto no passado. Tecnicamente, isso não é uma busca de ameaças porque você está usando um perigo conhecido, como o de um endereço IP. O Microsoft Sentinel já fornece consultas de busca para facilitar esse processo. A partir daí, basta procurar mais ameaças baseadas em evidências a partir de um incidente ou alerta atual como parte de um processo de análise de incidentes. É fundamental explorar os dados com base nas evidências encontradas em um incidente atual. Tanto o Microsoft Sentinel quanto o Microsoft Defender XDR fornecem esse tipo de capacidade de busca.
Todas essas abordagens têm uma coisa em comum: o uso de consultas KQL para encontrar ameaças.
O Microsoft Defender e o Microsoft Defender para Ponto de Extremidade se baseiam mais nos tipos de busca de análise e indicador. O Microsoft Sentinel fornece mais recursos para gerenciar o processo de busca de ameaças.
Buscas proativas
Por que fazer uma busca proativa? Na procura por ameaças "não detectadas anteriormente", o problema é que, se você esperar a ameaça ser detectada, o impacto do comprometimento pode ser mais significativo. Se não temos um indicador conhecido, o que vamos buscar? Faremos uma busca baseada em hipótese. A hipótese pode começar com a "inteligência contra ameaças operacionais" e, em seguida, listar as táticas e técnicas dos invasores. Uma hipótese pode procurar uma técnica específica e não um indicador, como um endereço IP. Se uma atividade mal-intencionada for identificada, descobriremos o invasor no início do processo de ataque antes que ele tenha a oportunidade de extrair dados.
Processo para a busca de ameaças
A busca de ameaças deve ser um processo contínuo. Começamos no início do ciclo com nossa hipótese. A hipótese ajuda a planejar o que buscar e, para isso, é necessário saber onde e como a busca será feita. Isso significa que precisamos saber que dados, ferramentas e conhecimento temos e como vamos trabalhar com eles. O ciclo não termina quando executamos a busca. Ainda há várias fases que precisamos realizar durante todo o ciclo de vida, inclusive responder a anomalias. Mesmo que não encontremos uma ameaça ativa, haverá atividades a serem executadas.
As tarefas rotineiras devem incluir:
Configurar o novo monitoramento.
Aprimorar nossos recursos de detecção.
Tudo o que é feito na busca de ameaças deve ser documentado. A documentação da busca deve incluir:
O que, como e o porquê
Entrada e saída
Como replicar a busca
Próximas etapas