Compreender o Microsoft Defender XDR em um Centro de Operações de Segurança (SOC)

  • 3 minutos

O gráfico a seguir fornece uma visão geral de como o Microsoft Defender XDR e o Microsoft Sentinel são integrados em um SOC (Centro de Operações de Segurança Moderno).

Diagram that shows the layers and technologies of Security Operations.

Modelo de Operações de Segurança - Funções e Ferramentas

Embora a atribuição de responsabilidades a pessoas e equipas individuais varie com base na dimensão da organização e noutros fatores, as operações de segurança são compostas por várias funções distintas. Cada função/equipa tem uma área de foco principal e também deve colaborar estreitamente com outras funções e equipas externas para ser eficaz. Este diagrama mostra o modelo completo com equipes totalmente equipadas. Em organizações menores, essas funções geralmente são combinadas em uma única função ou equipe, executadas por operações de TI (para funções técnicas), ou são executadas como uma função temporária por lideranças/delegados (para gerenciamento de incidentes)

Nota

Nós nos referimos principalmente aos analistas pelo nome da equipe, não pelos números de nível, pois cada uma dessas equipes tem habilidades especializadas únicas, elas não são um ranking/hierarquia literal de valor.

Diagram that shows the Security Operations Model with functions and tools.

Triagem e Automação

Começaremos com o tratamento de alertas reativos, que começa com:

  • Automação – Resolução quase em tempo real de tipos de incidentes conhecidos com automação. São ataques bem definidos que a organização já viu muitas vezes.

  • Triagem (também conhecida como Tier 1) – Os analistas de triagem se concentram na remediação rápida de um alto volume de tipos de incidentes bem conhecidos que ainda exigem julgamento humano (rápido). Eles geralmente são encarregados de aprovar fluxos de trabalho de remediação automatizados e identificar qualquer coisa anômala ou interessante que justifique escalonamento ou consulta com equipes de investigação (Nível 2).

    Principais aprendizados para Triagem e Automação:

    • 90% de verdadeiro positivo - Recomendamos definir um padrão de qualidade de 90% de verdadeiro positivo para qualquer feed de alerta que exija uma resposta de um analista para que os analistas não sejam obrigados a responder a um alto volume de falsos alarmes.
    • Taxa de alerta – Na experiência da Microsoft em nosso Centro de Operações de Defesa Cibernética, os alertas XDR produzem a maioria dos alertas de alta qualidade, com os remanescentes provenientes de problemas relatados pelo usuário, alertas clássicos baseados em consulta de log e outras fontes
    • A automação é um facilitador fundamental para as equipes de triagem, pois ajuda a capacitar esses analistas e reduzir a carga do esforço manual (por exemplo, fornecer investigação automatizada e, em seguida, solicitar uma revisão humana antes de aprovar a sequência de correção que foi criada automaticamente para esse incidente).
    • Integração de ferramentas - Uma das tecnologias de economia de tempo mais poderosas que melhorou o tempo de correção no CDOC da Microsoft é a integração de ferramentas XDR juntas no Microsoft Defender XDR para que os analistas tenham um único console para endpoint, e-mail, identidade e muito mais. Essa integração permite que os analistas descubram e limpem rapidamente e-mails de phishing de invasores, malware e contas comprometidas antes que eles possam causar danos significativos.
    • Foco - Essas equipes não conseguem manter sua alta velocidade de resolução para todos os tipos de tecnologias e cenários, portanto, mantêm seu foco restrito em algumas áreas técnicas e/ou cenários. Na maioria das vezes, isso ocorre na produtividade do usuário, como e-mail, alertas AV de ponto final (versus EDR que entra em investigações) e primeira resposta para relatórios de usuários.

Investigação e Gestão de Incidentes (Nível 2)

Essa equipe serve como ponto de escalonamento para problemas da Triagem (Nível 1) e monitora diretamente alertas que indicam um invasor mais sofisticado. Alertas específicos que disparam alertas comportamentais, alertas de casos especiais relacionados a ativos críticos para os negócios e monitoramento de campanhas de ataque contínuas. Proativamente, essa equipe também revisa periodicamente a fila de alertas da equipe de triagem e pode caçar proativamente usando ferramentas XDR em seu tempo livre.

Essa equipe fornece uma investigação mais profunda sobre um volume menor de ataques mais complexos, muitas vezes ataques de vários estágios conduzidos por operadores de ataques humanos. Esta equipe pilota tipos de alerta novos/desconhecidos para documentar processos para a equipe de triagem e automação, geralmente incluindo alertas gerados pelo Microsoft Defender for Cloud em aplicativos hospedados na nuvem, VMs, contêineres e Kubernetes, bancos de dados SQL, etc.

Gestão de Incidentes – Esta equipa assume os aspetos não técnicos da gestão de incidentes, incluindo a coordenação com outras equipas, como comunicações, jurídico, liderança e outras partes interessadas do negócio.

Gestão de Caças e Incidentes (Nível 3)

Trata-se de uma equipe multidisciplinar focada em identificar invasores que poderiam ter passado pelas deteções reativas e lidar com grandes eventos com impacto nos negócios.

  • Hunt – Esta equipe busca proativamente ameaças não detetadas, auxilia com escaladas e perícias avançadas para investigações reativas e refina alertas/automação. Essas equipes operam mais em um modelo orientado por hipóteses do que em um modelo de alerta reativo e também são onde as equipes vermelhas/roxas se conectam com as operações de segurança.

Como se une

Para dar uma ideia de como isso funciona, vamos seguir um ciclo de vida de incidente comum

  1. O analista de triagem (Nível 1) afirma que um alerta de malware da fila e investiga (por exemplo, com o console Microsoft Defender XDR)
  2. Embora a maioria dos casos de triagem sejam rapidamente remediados e fechados, desta vez o analista observa que o malware pode exigir uma remediação mais envolvida/avançada (por exemplo, isolamento e limpeza de dispositivos). A triagem encaminha o caso para o analista de Investigação (Nível 2), que assume a liderança da investigação. A equipe de triagem tem a opção de permanecer envolvida e saber mais (a equipe de investigação pode usar o Microsoft Sentinel ou outro SIEM para um contexto mais amplo)
  3. A investigação verifica as conclusões da investigação (ou aprofunda-se) e prossegue com a remediação, encerra o caso.
  4. Mais tarde, Hunt (Nível 3) pode notar este caso ao analisar incidentes fechados para verificar se há semelhanças ou anomalias que valham a pena investigar:
    • Deteções que podem ser elegíveis para correção automática
    • Vários incidentes semelhantes que podem ter uma causa raiz comum
    • Outras possíveis melhorias no processo/ferramenta/alerta Em um caso, o Tier 3 analisou o caso e descobriu que o usuário havia caído em um golpe tecnológico. Essa deteção foi então sinalizada como um alerta de prioridade potencialmente mais alta porque os golpistas conseguiram obter acesso de nível de administrador no endpoint. Uma maior exposição ao risco.

Informações sobre ameaças

As equipes de Inteligência de Ameaças fornecem contexto e insights para dar suporte a todas as outras funções (usando uma plataforma de inteligência de ameaças (TIP) em organizações maiores). Isto pode incluir muitas facetas diferentes, incluindo:

  • Pesquisa técnica reativa para incidentes ativos
  • Pesquisa técnica proativa sobre grupos de atacantes, tendências de ataque, ataques de alto perfil, técnicas emergentes, etc.
  • Análise estratégica, pesquisa e insights para informar os processos e prioridades comerciais e técnicos.
  • E muito mais