Este novo recurso atualmente (06/05/2024) em preview irá ajudar as empresas que utilizam Sentinel.
Por que é um recurso necessário?
Os utilizadores de Sentinel já conhecem bem o Content Hub e como ele ajuda disponibilizando os diferentes pacotes contendo regras analíticas, conectores e hunting para diferentes necessidades, produtos ou cenários. Alem disso, algumas tabelas e dados podem estar com baixa ou alta ingestão, o que compromete eficácia e custos.
Porem muitas vezes para se atingir a proteção a determinado tipo de ataque é necessário ter diversos pacotes do Content Hub para produtos diferentes ou isolados. Por exemplo para BEC é necessário algumas regras de Fortigate, outras de Cisco, outras de ENTRA e assim por diante, já que podemos ter diversos produtos em um ambiente e qualquer um deles pode ser a porta de entrada.
Resumindo, é dificil saber quais pacotes tem as regras que me protegeriam de um cenário de ataque especifico envolvendo múltiplos produtos e também otimização de custos.
Como o SOC Optimization ajuda e funciona?
Com avaliações periódicas das suas regras instaladas e habilitadas, ele identifica cenários em que sua organização está protegida ou vulnerável. Seguem um print do meu ambiente hoje, onde podem ser vistos os diferentes tipos de ataque:
No exemplo acima, escolhi o BEC para roubo de credencial como o foco de analise realizada pela plataforma e descubro que das 29 recomendações eu tenho apenas 16 aplicadas. Alem disso o grafico me permite ver por tipo de ataque qual é o foco das táticas e técnicas baseado no MITRE.
Ao clicar no link View all MITRE ATTACK technique improvement passo a ter um detalhe das tecnicas que estou cobrindo e quais não estou protegido:
Por fim, ao clicar no botão Go to Content Hub sou direcionado a uma nova tela onde tenho acesso a quais são os objetos que me ajudariam a cobrir o gap identificado e permitindo a instalação imediata:
No exemplo acima vejam que diversas regras estão relacionadas a analise de log de produtos de terceiros que eu não possuo. Como lidar neste caso?
Lembre-se que na tela iniciar de cada avaliação você tem a opção de indicar o estágio que se encontra a sua ação após a análise. Como em meu ambiente não tenho Cisco nem Proofpoint instalaria os objetos que cobrem o meu ambiente e definiria o estágio como Complete.
Conclusão
Simples de utilizar e prático, este recurso irá ajudar muito aos operadores de SOC ter cenários cobertos sem a necessidade de seguir manualmente verificações.
Também irá ajudar na visualização de tabelas com ingestão inadequada.
O workbook agora tornado publico (ate a data que escreve em public preview) eu testei quando esteve a dois meses em Private Preview.
Este workbook permite que você crie conectores para dados que não são padronizados e consequentemente não aparecem no painel de dados do Sentinel, apesar que é possível criar regras de anomalias e hunting a partir de DCRs (Data Collection Rules) do Azure Monitor.
Vantagens de Coletores Customizados
Alem da característica visual no Sentinel de ver o seu coletor e estatísticas, você terá uma integração com APIs externas.
Essa integração permitira que de forma simples você capture dados de fontes externas como produtos PaaS e SaaS de terceiros.
O Workbook
O workbook não é tão simples a ponto de ser utilizado por um profissional que não conheça bem o Azure Monitor e conceitos de log (JSON, CSV, Endpoint, API URL/Autenthication, etc). Mas para quem já utiliza hoje DCRs e captura dados no Log Analytics, ele será mais simples.
Após baixar o workbook pelo Content, verá que ele permite indicar a subscrição, log analytics, endpoint e definir visualmente as características do dado que deseja coletar:
Referencia
Create Codeless Connectors with the Codeless Connector Builder (Preview) - Microsoft Community Hub
Disponivel em preview pelo progama CCP a alguns meses e agora disponivel para todos os usuarios (GA), o recurso de Tasks no Sentinel é um recuros muito importante e esperado (Use tasks to manage incidents in Microsoft Sentinel | Microsoft Learn).
Porque é um recurso importante
Já havia sido introduzido no sentinel a algum tempo o recurso de comentários, mas ele não permitia um controle do que precisaria ser realizado em uma sequencia e servia para cada operador ou analista informar o que foi realizado ou descoberto.
O recurso de tasks permite que os analistas e operadores de SOC indiquem uma sequencia, passos bem definidos e estejam claramente identificados.
A tela abaixo demonstra bem como esse é simples e útil.
Veja que já tenho uma tarefa padrão via automação que abordarei mais tarde, mas já criei uma tarefa de exemplo e a adição de tasks é simples permitindo edição com bullets ou listas numeradas.
As tarefas não permitem a atribuição a terceiros, já que o analista responsavel pela triagem irá direcionar o incidente a outro operador ou analista especialista que irá liderar a investigação.
Automatizando Tasks
No exemplo que utilizei veja que a primeira tarefa foi criada pela automação que inclui o nome do responsavel e cria uma tarefa basica apenas como exemplo.
Isso é feito no Sentinel em Automações (Automation) com todos os incidentes que são gerados no meu ambiente de demonstração:
O meu fluxo de automação inclui uma tarefa que foi a vista anteriormente na interface dos incidentes. Eu posso criar quantas tarefas precisar com o botão "Add action" que fica logo abaixo e assim deixar os incidentes sempre com a lista basica de ações para um incidente.
Pergunta tipica: Mas cada incidente tem tarefas padronizadas, por exemplo DLP validar o conteudo e o owner da informação conforme a politica ABC e assim por diante.
Resposta: No meu exemplo não utilizo filtros, mas você poderá utilizar a condição "Analytic rule name" para indicar quais tipos de incidentes o fluxo de automação se aplicará e assim incluir as tarefas expecificas de determinado incidente. No meu ambiente tenho uma automação padrão que é a acima e uma outra automação para regras analiticas especificas como indicadores de IOC onde insiro tasks quando aquele incidente acontece.
Conclusão
Com este recurso agora é possivel ter uma clara indicação de como tratar o incidente de forma organizada e validar visualmente os passos já efetuados e o que está pendente.
Isso irá ajudar muito na resolução e acompanhamento dos incidentes, principalmente aqueles que demoram um tempo consideravel ou tem uma série de tarefas concomitantes ao longo da analise.