Recomendações para monitorização e deteção de ameaças

  • Artigo

Aplica-se a esta recomendação da lista de verificação do Azure Well-Architected Framework Security:

SE:10 Implemente uma estratégia de monitorização holística que se baseie em mecanismos modernos de deteção de ameaças que podem ser integrados na plataforma. Os mecanismos devem alertar de forma fiável para a triagem e enviar sinais para os processos secOps existentes.

Este guia descreve as recomendações de monitorização e deteção de ameaças. A monitorização é fundamentalmente um processo de obtenção de informações sobre eventos que já ocorreram. A monitorização de segurança é uma prática de capturar informações em diferentes altitudes da carga de trabalho (infraestrutura, aplicação, operações) para obter conhecimento de atividades suspeitas. O objetivo é prever incidentes e aprender com eventos passados. Os dados de monitorização fornecem a base da análise pós-incidente do que ocorreu para ajudar a resposta a incidentes e investigações forenses.

A monitorização é uma abordagem de Excelência Operacional que é aplicada em todos os pilares Well-Architected Framework. Este guia fornece recomendações apenas de uma perspetiva de segurança. Os conceitos gerais de monitorização, como a instrumentação de código, a recolha de dados e a análise, estão fora do âmbito deste guia. Para obter informações sobre os principais conceitos de monitorização, veja Recomendações para conceber e criar uma arquitetura de observabilidade.

Definições

Termo Definição
Registos de auditoria Um registo de atividades num sistema.
Informações de segurança e gestão de eventos (SIEM) Uma abordagem que utiliza capacidades de deteção e inteligência de ameaças incorporadas com base em dados agregados de várias origens.
Deteção de ameaças Uma estratégia para detetar desvios das ações esperadas com dados recolhidos, analisados e correlacionados.
Informações sobre ameaças Uma estratégia para interpretar dados de deteção de ameaças para detetar ameaças ou atividades suspeitas ao examinar padrões.
Prevenção de ameaças Controlos de segurança colocados numa carga de trabalho a várias altitudes para proteger os respetivos recursos.

Principais estratégias de conceção

O principal objetivo da monitorização de segurança é a deteção de ameaças. O principal objetivo é evitar potenciais falhas de segurança e manter um ambiente seguro. No entanto, é igualmente importante reconhecer que nem todas as ameaças podem ser bloqueadas preventivamente. Nestes casos, a monitorização também serve como um mecanismo para identificar a causa de um incidente de segurança que ocorreu apesar dos esforços de prevenção.

A monitorização pode ser abordada a partir de várias perspetivas:

  • Monitorize em várias altitudes. Observar a partir de várias altitudes é o processo de obter informações sobre fluxos de utilizador, acesso a dados, identidade, rede e até mesmo sobre o sistema operativo. Cada uma destas áreas oferece informações exclusivas que podem ajudá-lo a identificar desvios de comportamentos esperados que são estabelecidos em relação à linha de base de segurança. Por outro lado, monitorizar continuamente um sistema e aplicações ao longo do tempo pode ajudar a estabelecer essa postura de linha de base. Por exemplo, normalmente, poderá ver cerca de 1000 tentativas de início de sessão no seu sistema de identidade a cada hora. Se a monitorização detetar um pico de 50 000 tentativas de início de sessão durante um curto período, um atacante poderá estar a tentar obter acesso ao seu sistema.

  • Monitorize em vários âmbitos de impacto. É fundamental observar a aplicação e a plataforma. Suponha que um utilizador da aplicação obtém acidentalmente privilégios escalados ou ocorre uma falha de segurança. Se o utilizador efetuar ações para além do âmbito designado, o impacto poderá limitar-se às ações que outros utilizadores podem realizar.

    No entanto, se uma entidade interna comprometer uma base de dados, a extensão dos potenciais danos é incerta.

    Se ocorrer um compromisso no lado do recurso do Azure, o impacto poderá ser global, afetando todas as entidades que interagem com o recurso.

    O raio de explosão ou o âmbito de impacto podem ser significativamente diferentes, consoante qual destes cenários ocorre.

  • Utilize ferramentas de monitorização especializadas. É fundamental investir em ferramentas especializadas que podem analisar continuamente comportamentos anómalos que possam indicar um ataque. A maioria destas ferramentas tem capacidades de inteligência sobre ameaças que podem realizar análises preditivas com base num grande volume de dados e ameaças conhecidas. A maioria das ferramentas não tem estado e incorpora uma compreensão profunda da telemetria num contexto de segurança.

    As ferramentas têm de estar integradas na plataforma ou, pelo menos, conscientes da plataforma para obterem sinais profundos da plataforma e fazerem predições com alta fidelidade. Têm de ser capazes de gerar alertas em tempo útil com informações suficientes para realizar a triagem adequada. A utilização de demasiadas ferramentas diversas pode levar à complexidade.

  • Utilize a monitorização para a resposta a incidentes. Os dados agregados, transformados em inteligência acionável, permitem reações rápidas e eficazes a incidentes. A monitorização ajuda com atividades pós-incidente. O objetivo é recolher dados suficientes para analisar e compreender o que aconteceu. O processo de monitorização captura informações sobre eventos passados para melhorar as capacidades reativas e potencialmente prever futuros incidentes.

As secções seguintes fornecem práticas recomendadas que incorporam as perspetivas de monitorização anteriores.

Capturar dados para manter um registo de atividades

O objetivo é manter um registo de auditoria abrangente de eventos que são significativos do ponto de vista da segurança. O registo é a forma mais comum de capturar padrões de acesso. O registo tem de ser efetuado para a aplicação e para a plataforma.

Para um registo de auditoria, tem de estabelecer o quê, quando e quem está associado às ações. Tem de identificar os intervalos de tempo específicos quando as ações são executadas. Faça esta avaliação na modelação de ameaças. Para contrariar uma ameaça de rejeição, deve estabelecer sistemas de registo e auditoria fortes que resultem num registo de atividades e transações.

As secções seguintes descrevem casos de utilização para algumas altitudes comuns de uma carga de trabalho.

Fluxos de utilizador da aplicação

A sua aplicação deve ser concebida para fornecer visibilidade de tempo de execução quando ocorrem eventos. Identifique pontos críticos na sua aplicação e estabeleça o registo para estes pontos. Por exemplo, quando um utilizador inicia sessão na aplicação, capture a identidade do utilizador, a localização de origem e outras informações relevantes. É importante reconhecer qualquer escalamento nos privilégios de utilizador, as ações executadas pelo utilizador e se o utilizador acedeu a informações confidenciais num arquivo de dados seguro. Controle as atividades do utilizador e da sessão do utilizador.

Para facilitar este controlo, o código deve ser instrumentado através do registo estruturado. Ao fazê-lo, permite uma consulta e filtragem uniformes e fáceis dos registos.

Importante

Tem de impor um registo responsável para manter a confidencialidade e integridade do seu sistema. Os segredos e os dados confidenciais não podem aparecer nos registos. Tenha em atenção a fuga de dados pessoais e outros requisitos de conformidade quando capturar estes dados de registo.

Monitorização de identidades e acessos

Mantenha um registo minucioso dos padrões de acesso da aplicação e modificações aos recursos da plataforma. Tenha registos de atividades robustos e mecanismos de deteção de ameaças, especialmente para atividades relacionadas com identidades, porque os atacantes tentam frequentemente manipular identidades para obter acesso não autorizado.

Implemente o registo abrangente com todos os pontos de dados disponíveis. Por exemplo, inclua o endereço IP do cliente para diferenciar entre a atividade regular do utilizador e potenciais ameaças de localizações inesperadas. Todos os eventos de registo devem ser carimbos de data/hora pelo servidor.

Registe todas as atividades de acesso a recursos, capturando quem está a fazer o quê e quando o estão a fazer. As instâncias de escalamento de privilégios são um ponto de dados significativo que deve ser registado. As ações relacionadas com a criação ou eliminação da conta pela aplicação também têm de ser registadas. Esta recomendação estende-se aos segredos da aplicação. Monitorize quem acede a segredos e quando estes são rodados.

Embora o registo de ações bem-sucedidas seja importante, é necessário registar falhas do ponto de vista da segurança. Documente quaisquer violações, como um utilizador que tente uma ação, mas que se depare com uma falha de autorização, tentativas de acesso para recursos inexistentes e outras ações que pareçam suspeitas.

Monitorização de rede

Ao monitorizar os pacotes de rede e as respetivas origens, destinos e estruturas, obtém visibilidade sobre os padrões de acesso ao nível da rede.

A estrutura da segmentação deve ativar os pontos de observação nos limites para monitorizar o que os cruza e registar esses dados. Por exemplo, monitorize sub-redes que tenham grupos de segurança de rede que geram registos de fluxo. Monitorize também os registos da firewall que mostram os fluxos que foram permitidos ou negados.

Existem registos de acesso para pedidos de ligação de entrada. Estes registos registam os endereços IP de origem que iniciam os pedidos, o tipo de pedido (GET, POST) e todas as outras informações que fazem parte dos pedidos.

Capturar fluxos DNS é um requisito significativo para muitas organizações. Por exemplo, os registos DNS podem ajudar a identificar que utilizador ou dispositivo iniciou uma consulta DNS específica. Ao correlacionar a atividade DNS com os registos de autenticação de utilizadores/dispositivos, pode controlar atividades para clientes individuais. Muitas vezes, esta responsabilidade estende-se à equipa de cargas de trabalho, especialmente se implementarem algo que faça com que os pedidos DNS façam parte da respetiva operação. A análise de tráfego DNS é um aspeto fundamental da observabilidade da segurança da plataforma.

É importante monitorizar pedidos DNS inesperados ou pedidos DNS direcionados para pontos finais de comando e controlo conhecidos.

Troca: o registo de todas as atividades de rede pode resultar numa grande quantidade de dados. Todos os pedidos da camada 3 podem ser registados num registo de fluxo, incluindo todas as transações que atravessam um limite de sub-rede. Infelizmente, não é possível capturar apenas eventos adversos porque só podem ser identificados depois de ocorrerem. Tome decisões estratégicas sobre o tipo de eventos a capturar e quanto tempo pretende armazená-los. Se não tiver cuidado, gerir os dados pode ser avassalador. Há também uma desvantagem no custo de armazenar esses dados.

Devido às desvantagens, deve considerar se o benefício da monitorização de rede da carga de trabalho é suficiente para justificar os custos. Se tiver uma solução de aplicação Web com um volume de pedidos elevado e o seu sistema utilizar extensivamente os recursos geridos do Azure, o custo poderá superar os benefícios. Por outro lado, se tiver uma solução concebida para utilizar máquinas virtuais com várias portas e aplicações, poderá ser importante capturar e analisar registos de rede.

Capturar alterações do sistema

Para manter a integridade do seu sistema, deve ter um registo preciso e atualizado do estado do sistema. Se existirem alterações, pode utilizar este registo para resolver rapidamente quaisquer problemas que surjam.

Os processos de compilação também devem emitir telemetria. Compreender o contexto de segurança dos eventos é fundamental. Saber o que acionou o processo de compilação, quem o acionou e quando foi acionado pode fornecer informações valiosas.

Controlar quando os recursos são criados e quando são desativados. Estas informações têm de ser extraídas da plataforma. Estas informações fornecem informações valiosas sobre a gestão de recursos e a responsabilidade.

Monitorizar o desfasamento na configuração de recursos. Documente qualquer alteração a um recurso existente. Mantenha também um registo das alterações que não são concluídas como parte de uma implementação para uma frota de recursos. Os registos têm de capturar as especificidades da alteração e a hora exata em que ocorreu.

Tenha uma vista abrangente, do ponto de vista da aplicação de patches, sobre se o sistema está atualizado e seguro. Monitorize os processos de atualização de rotina para verificar se são concluídos conforme planeado. Um processo de aplicação de patches de segurança que não esteja concluído deve ser considerado uma vulnerabilidade. Também deve manter um inventário que regista os níveis de patch e quaisquer outros detalhes necessários.

A deteção de alterações também se aplica ao sistema operativo. Isto envolve controlar se os serviços são adicionados ou desativados. Também inclui monitorização para a adição de novos utilizadores ao sistema. Existem ferramentas concebidas para direcionar um sistema operativo. Ajudam com a monitorização sem contexto no sentido de que não visam a funcionalidade da carga de trabalho. Por exemplo, a monitorização da integridade dos ficheiros é uma ferramenta crítica que lhe permite controlar as alterações nos ficheiros do sistema.

Deve configurar alertas para estas alterações, especialmente se não esperar que ocorram com frequência.

Importante

Quando implementar a produção, certifique-se de que os alertas estão configurados para capturar atividades anómalos detetadas nos recursos da aplicação e no processo de compilação.

Nos seus planos de teste, inclua a validação do registo e alertas como casos de teste prioritários.

Armazenar, agregar e analisar dados

Os dados recolhidos destas atividades de monitorização têm de ser armazenados em sinks de dados onde possam ser analisados, normalizados e correlacionados. Os dados de segurança devem ser mantidos fora dos arquivos de dados do próprio sistema. Os sinks de monitorização, quer sejam localizados ou centrais, têm de sobreviver às origens de dados. Os sinks não podem ser efémeros porque os sinks são a origem para sistemas de deteção de intrusões.

Os registos de rede podem ser verbosos e ocupar o armazenamento. Explorar diferentes camadas em sistemas de armazenamento. Os registos podem, naturalmente, transitar para um armazenamento mais frio ao longo do tempo. Esta abordagem é benéfica porque os registos de fluxo mais antigos normalmente não são utilizados ativamente e só são necessários a pedido. Este método garante uma gestão de armazenamento eficiente, ao mesmo tempo que garante que pode aceder a dados históricos quando precisar.

Normalmente, os fluxos da carga de trabalho são compostos por múltiplas origens de registo. Os dados de monitorização têm de ser analisados de forma inteligente em todas essas origens. Por exemplo, a firewall só bloqueará o tráfego que o atinge. Se tiver um grupo de segurança de rede que já bloqueou determinado tráfego, esse tráfego não é visível para a firewall. Para reconstruir a sequência de eventos, tem de agregar dados de todos os componentes que estão em fluxo e, em seguida, agregar dados de todos os fluxos. Estes dados são particularmente úteis num cenário de resposta pós-incidente quando está a tentar compreender o que aconteceu. É essencial um temporizador preciso. Para fins de segurança, todos os sistemas precisam de utilizar uma origem de tempo de rede para que estejam sempre sincronizados.

Deteção centralizada de ameaças com registos correlacionados

Pode utilizar um sistema como informações de segurança e gestão de eventos (SIEM) para consolidar dados de segurança numa localização central onde possam ser correlacionados em vários serviços. Estes sistemas têm mecanismos incorporados de deteção de ameaças . Podem ligar-se a feeds externos para obter dados de informações sobre ameaças. A Microsoft, por exemplo, publica dados de informações sobre ameaças que pode utilizar. Também pode comprar feeds de informações sobre ameaças de outros fornecedores, como Anomali e FireEye. Estes feeds podem fornecer informações valiosas e melhorar a sua postura de segurança. Para obter informações sobre ameaças da Microsoft, consulte Security Insider.

Um sistema SIEM pode gerar alertas com base em dados correlacionados e normalizados. Estes alertas são um recurso significativo durante um processo de resposta a incidentes.

Desvantagem: os sistemas SIEM podem ser dispendiosos, complexos e requerem competências especializadas. No entanto, se não tiver um, poderá ter de correlacionar os dados por conta própria. Pode ser um processo demorado e complexo.

Normalmente, os sistemas SIEM são geridos pelas equipas centrais de uma organização. Se a sua organização não tiver uma, considere defendê-la. Poderia aliviar o peso da análise manual dos registos e da correlação para permitir uma gestão de segurança mais eficiente e eficaz.

Algumas opções económicas são fornecidas pela Microsoft. Muitos produtos Microsoft Defender fornecem a funcionalidade de alerta de um sistema SIEM, mas sem uma funcionalidade de agregação de dados.

Ao combinar várias ferramentas mais pequenas, pode emular algumas funções de um sistema SIEM. No entanto, precisa de saber que estas soluções improvisadas poderão não conseguir realizar análises de correlação. Estas alternativas podem ser úteis, mas podem não substituir totalmente a funcionalidade de um sistema SIEM dedicado.

Detetar abuso

Seja proativo sobre a deteção de ameaças e esteja atento a sinais de abuso, como ataques de força bruta de identidade a um componente SSH ou a um ponto final RDP. Embora as ameaças externas possam gerar muito ruído, especialmente se a aplicação estiver exposta à Internet, as ameaças internas são muitas vezes uma preocupação maior. Um ataque de força bruta inesperado de uma origem de rede fidedigna ou de uma configuração incorreta inadvertida, por exemplo, deve ser investigado imediatamente.

Acompanhe as suas práticas de proteção. A monitorização não substitui a proteção proativa do seu ambiente. Uma área de superfície maior é propensa a mais ataques. Aperta os controlos tanto quanto a prática. Detetar e desativar contas não utilizadas, remover portas não utilizadas e utilizar uma firewall de aplicações Web, por exemplo. Para obter mais informações sobre técnicas de proteção, veja Recomendações sobre proteção de segurança.

A deteção baseada em assinaturas pode inspecionar um sistema em detalhe. Envolve procurar sinais ou correlações entre atividades que possam indicar um potencial ataque. Um mecanismo de deteção pode identificar determinadas características indicativas de um tipo específico de ataque. Pode nem sempre ser possível detetar diretamente o mecanismo de comando e controlo de um ataque. No entanto, muitas vezes existem sugestões ou padrões associados a um processo de comando e controlo específico. Por exemplo, um ataque pode ser indicado por uma determinada taxa de fluxo a partir de uma perspetiva de pedido ou pode aceder frequentemente a domínios que tenham finais específicos.

Detete padrões de acesso de utilizador anómalos para que possa identificar e investigar desvios de padrões esperados. Isto envolve comparar o comportamento atual do utilizador com o comportamento anterior para detetar anomalias. Embora possa não ser viável efetuar esta tarefa manualmente, pode utilizar ferramentas de informações sobre ameaças para o fazer. Invista em ferramentas de Análise de Comportamento de Utilizadores e Entidades (UEBA) que recolhem o comportamento dos utilizadores a partir da monitorização de dados e analisam-nos. Muitas vezes, estas ferramentas podem realizar análises preditivas que mapeiam comportamentos suspeitos a potenciais tipos de ataque.

Detetar ameaças durante as fases de pré-implementação e pós-implementação. Durante a fase de pré-implementação, incorpore a análise de vulnerabilidades em pipelines e tome as ações necessárias com base nos resultados. Após a implementação, continue a realizar a análise de vulnerabilidades. Pode utilizar ferramentas como Microsoft Defender para Contentores, que analisa imagens de contentor. Inclua os resultados nos dados recolhidos. Para obter informações sobre práticas de desenvolvimento seguras, veja Recomendações para utilizar práticas de implementação seguras.

Tire partido dos mecanismos e medidas de deteção fornecidos pela plataforma. Por exemplo, Azure Firewall podem analisar o tráfego e bloquear ligações a destinos não fidedignos. O Azure também fornece formas de detetar e proteger contra ataques denial-of-service distribuídos (DDoS).

Facilitação do Azure

O Azure Monitor proporciona observabilidade em todo o ambiente. Sem configuração, obtém automaticamente métricas de plataforma, registos de atividades e registos de diagnósticos da maioria dos recursos do Azure. Os registos de atividades fornecem informações detalhadas de diagnóstico e auditoria.

Nota

Os registos da plataforma não estão disponíveis indefinidamente. Tem de mantê-las para poder revê-las mais tarde para fins de auditoria ou análise offline. Utilize contas de armazenamento do Azure para armazenamento de longo prazo/arquivo. No Azure Monitor, especifique um período de retenção quando ativar as definições de diagnóstico para os seus recursos.

Configure alertas com base em métricas e registos predefinidos ou personalizados para receber notificações quando forem detetados eventos ou anomalias relacionados com segurança específicos.

Para obter mais informações, veja Documentação do Azure Monitor.

Microsoft Defender para a Cloud fornece capacidades incorporadas para a deteção de ameaças. Funciona nos dados recolhidos e analisa os registos. Uma vez que está ciente dos tipos de registos gerados, pode utilizar regras incorporadas para tomar decisões informadas. Por exemplo, verifica listas de endereços IP potencialmente comprometidos e gera alertas.

Ative os serviços de proteção contra ameaças incorporados para os recursos do Azure. Por exemplo, ative Microsoft Defender para recursos do Azure, como máquinas virtuais, bases de dados e contentores, para detetar e proteger contra ameaças conhecidas.

O Defender para a Cloud fornece capacidades de plataforma de proteção de cargas de trabalho na cloud (CWPP) para deteção de ameaças de todos os recursos de carga de trabalho.

Para obter mais informações, consulte O que é Microsoft Defender para a Cloud?.

Os alertas gerados pelo Defender também podem ser alimentados em sistemas SIEM. O Microsoft Sentinel é a oferta nativa. Utiliza IA e machine learning para detetar e responder a ameaças de segurança em tempo real. Fornece uma vista centralizada dos dados de segurança e facilita a investigação e investigação de ameaças proativas.

Para obter mais informações, consulte O que é o Microsoft Sentinel?.

O Microsoft Sentinel também pode utilizar feeds de informações sobre ameaças de várias origens. Para obter mais informações, veja Integração de informações sobre ameaças no Microsoft Sentinel.

O Microsoft Sentinel pode analisar o comportamento do utilizador a partir da monitorização de dados. Para obter mais informações, veja Identificar ameaças avançadas com a Análise de Comportamento de Utilizadores e Entidades (UEBA) no Microsoft Sentinel.

O Defender e o Microsoft Sentinel funcionam em conjunto, apesar de alguma sobreposição na funcionalidade. Esta colaboração melhora a sua postura de segurança geral ao ajudar a garantir uma deteção e resposta abrangentes de ameaças.

Tire partido do Centro de Continuidade de Negócio do Azure para identificar lacunas no seu património de continuidade de negócio e defender-se contra ameaças como ataques de ransomware, atividades maliciosas e incidentes de administrador não autorizado. Para obter mais informações, veja O que é o Centro de Continuidade de Negócio do Azure?.

Rede

Reveja todos os registos, incluindo o tráfego não processado, dos seus dispositivos de rede.

Identidade

Monitorizar eventos de risco relacionados com identidades em identidades potencialmente comprometidas e remediar esses riscos. Reveja os eventos de risco comunicados das seguintes formas:

Microsoft Entra ID utiliza algoritmos de machine learning adaptáveis, heurística e credenciais comprometidas conhecidas (pares de nome de utilizador e palavra-passe) para detetar ações suspeitas relacionadas com as suas contas de utilizador. Estes pares de nome de utilizador e palavra-passe são apresentados através da monitorização da Web pública e escura e do trabalho com investigadores de segurança, agentes da lei, equipas de segurança da Microsoft, entre outros.

Pipelines do Azure

O DevOps defende a gestão de alterações de cargas de trabalho através da integração contínua e da entrega contínua (CI/CD). Certifique-se de que adiciona validação de segurança nos pipelines. Siga as orientações descritas em Proteger os Pipelines do Azure.

Lista de verificação de segurança

Veja o conjunto completo de recomendações.

Lista de verificação de segurança