Este novo recurso atualmente (06/05/2024) em preview irá ajudar as empresas que utilizam Sentinel.
Por que é um recurso necessário?
Os utilizadores de Sentinel já conhecem bem o Content Hub e como ele ajuda disponibilizando os diferentes pacotes contendo regras analíticas, conectores e hunting para diferentes necessidades, produtos ou cenários. Alem disso, algumas tabelas e dados podem estar com baixa ou alta ingestão, o que compromete eficácia e custos.
Porem muitas vezes para se atingir a proteção a determinado tipo de ataque é necessário ter diversos pacotes do Content Hub para produtos diferentes ou isolados. Por exemplo para BEC é necessário algumas regras de Fortigate, outras de Cisco, outras de ENTRA e assim por diante, já que podemos ter diversos produtos em um ambiente e qualquer um deles pode ser a porta de entrada.
Resumindo, é dificil saber quais pacotes tem as regras que me protegeriam de um cenário de ataque especifico envolvendo múltiplos produtos e também otimização de custos.
Como o SOC Optimization ajuda e funciona?
Com avaliações periódicas das suas regras instaladas e habilitadas, ele identifica cenários em que sua organização está protegida ou vulnerável. Seguem um print do meu ambiente hoje, onde podem ser vistos os diferentes tipos de ataque:
No exemplo acima, escolhi o BEC para roubo de credencial como o foco de analise realizada pela plataforma e descubro que das 29 recomendações eu tenho apenas 16 aplicadas. Alem disso o grafico me permite ver por tipo de ataque qual é o foco das táticas e técnicas baseado no MITRE.
Ao clicar no link View all MITRE ATTACK technique improvement passo a ter um detalhe das tecnicas que estou cobrindo e quais não estou protegido:
Por fim, ao clicar no botão Go to Content Hub sou direcionado a uma nova tela onde tenho acesso a quais são os objetos que me ajudariam a cobrir o gap identificado e permitindo a instalação imediata:
No exemplo acima vejam que diversas regras estão relacionadas a analise de log de produtos de terceiros que eu não possuo. Como lidar neste caso?
Lembre-se que na tela iniciar de cada avaliação você tem a opção de indicar o estágio que se encontra a sua ação após a análise. Como em meu ambiente não tenho Cisco nem Proofpoint instalaria os objetos que cobrem o meu ambiente e definiria o estágio como Complete.
Conclusão
Simples de utilizar e prático, este recurso irá ajudar muito aos operadores de SOC ter cenários cobertos sem a necessidade de seguir manualmente verificações.
Também irá ajudar na visualização de tabelas com ingestão inadequada.
Uma novidade bem interessante anunciada em preview a poucos dias é a integração do resultado do Purview IRM com o acesso condicional do ENTRA.
Relembrando o que é o Insider Risk Management
O Purview IRM é um recurso do Defender XDR para monitorar atividades na organização no nível individual e corporativo.
Ele permite comparar o comportamento de um usuário em relação ao seu proprio comportamento tradicional ou ao comportamento da corporação como um todo e detectar anomalias. Por exemplo ele é capaz de detectar quando um funcionário enviou uma quantidade de emails ou copiou arquivos em uma curva diferente do que ele costuma fazer no dia a dia. Esse comportamento indica que o usuário está exfiltrando dados, seja interno ou externo.
Para os que não o conhecem, tratei desde recurso no Ignite After Party de 2022 (Marcelo Sincic | Evitando vazamento de dados com o Microsoft Purview).
Integrando com o Acesso Condicional
Neste preview agora podemos usar as métricas do IRM para detectar e bloquear um usuário que esteja tendo comportamento anormal.
Esse novo recurso irá evitar dinamicamente duas situações de risco:
- Um usuário que está vazando ou copiando dados continue se logando nos sistemas e serviços como OneDrive, SharePoint e outros será bloqueado após seu nivel de alerta alcançar o que você determinar
- Um hacker ou ator malicioso está copiando os dados para outro local se passando por um usuário legitimo que pode ter tido credenciais roubadas
A configuração dessa integraçao é muito simples, indique essa nova condição de acesso e o nivel desejado de sensibilidade:
Conclusão
Agora você poderá ter uma ação automatica e reativa quando houver a detecção de anomilia no comportamento de um usuario no IRM.
Referencia técnica: Help dynamically mitigate risks with adaptive protection (preview) | Microsoft Learn
O workbook agora tornado publico (ate a data que escreve em public preview) eu testei quando esteve a dois meses em Private Preview.
Este workbook permite que você crie conectores para dados que não são padronizados e consequentemente não aparecem no painel de dados do Sentinel, apesar que é possível criar regras de anomalias e hunting a partir de DCRs (Data Collection Rules) do Azure Monitor.
Vantagens de Coletores Customizados
Alem da característica visual no Sentinel de ver o seu coletor e estatísticas, você terá uma integração com APIs externas.
Essa integração permitira que de forma simples você capture dados de fontes externas como produtos PaaS e SaaS de terceiros.
O Workbook
O workbook não é tão simples a ponto de ser utilizado por um profissional que não conheça bem o Azure Monitor e conceitos de log (JSON, CSV, Endpoint, API URL/Autenthication, etc). Mas para quem já utiliza hoje DCRs e captura dados no Log Analytics, ele será mais simples.
Após baixar o workbook pelo Content, verá que ele permite indicar a subscrição, log analytics, endpoint e definir visualmente as características do dado que deseja coletar:
Referencia
Create Codeless Connectors with the Codeless Connector Builder (Preview) - Microsoft Community Hub