Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Agora você pode obter detecção e prevenção na forma de uma solução de Firewall do Azure fácil de implantar para o Azure Sentinel.
A segurança é um equilíbrio constante entre defesas proativas e reativas. Ambos são igualmente importantes, e nenhum deles pode ser negligenciado. Proteger efetivamente sua organização significa otimizar constantemente a prevenção e a detecção.
A combinação de prevenção e detecção permite garantir que você previna ameaças sofisticadas quando possível, enquanto mantém uma mentalidade de presumir violação para detectar e responder rapidamente a ataques cibernéticos.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Principais capacidades
Ao integrar o Firewall do Azure ao Microsoft Sentinel, você habilita os seguintes recursos:
- Monitorar e visualizar atividades do Firewall do Azure
- Detectar ameaças e aplicar recursos de investigação assistida por IA
- Automatizar respostas e correlação com outras fontes
Toda a experiência é empacotada como uma solução no marketplace do Microsoft Sentinel, o que significa que ela pode ser implantada relativamente facilmente.
Implantar e habilitar a solução de Firewall do Azure para o Microsoft Sentinel
Você pode implantar rapidamente a solução no Hub de Conteúdo. No workspace do Microsoft Sentinel, selecione Análise e , em seguida, Mais conteúdo no Hub de Conteúdo. Pesquise e selecione o Firewall do Azure e selecione Instalar.
Depois de instalado, selecione Gerenciar siga todas as etapas no assistente, passe a validação e crie a solução. Com apenas algumas seleções, todo o conteúdo, incluindo conectores, detecções, pastas de trabalho e playbooks são implantados em seu espaço de trabalho do Microsoft Sentinel.
Monitorar e visualizar atividades do Firewall do Azure
A pasta de trabalho do Firewall do Azure permite visualizar eventos do Firewall do Azure. Com esta pasta de trabalho, você pode:
- Saiba mais sobre o aplicativo e as regras de rede
- Confira as estatísticas de atividades de firewall entre URLs, portas e endereços
- Filtrar por firewall e grupo de recursos
- Filtrar dinamicamente por categoria com conjuntos de dados fáceis de ler ao investigar um problema nos logs.
A pasta de trabalho fornece um único painel para monitoramento contínuo de sua atividade de firewall. Quando se trata de detecção, investigação e resposta de ameaças, a solução de Firewall do Azure também fornece recursos internos de detecção e busca.
Detectar ameaças e usar recursos de investigação assistidos por IA
As regras de detecção da solução fornecem ao Microsoft Sentinel um método avançado para analisar sinais do Firewall do Azure para detectar o tráfego que representa padrões de atividade mal-intencionados que atravessam a rede. Isso permite resposta rápida e correção das ameaças.
Os estágios de ataque que um adversário busca dentro da solução de firewall são segmentados com base na estrutura MITRE ATT&CK . A estrutura MITRE é uma série de etapas que rastreiam estágios de um ataque cibernético desde os estágios iniciais de reconhecimento até a exfiltração de dados. A estrutura ajuda os defensores a entender e combater ransomware, violações de segurança e ataques avançados.
A solução inclui detecções para cenários comuns que um adversário pode usar como parte do ataque, abrangendo desde o estágio de descoberta (obtendo conhecimento sobre o sistema e a rede interna) por meio do estágio de comando e controle (C2) (comunicando-se com sistemas comprometidos para controlá-los) até o estágio de exfiltração (adversário tentando roubar dados da organização).
| Regra de detecção | O que ela faz? | O que isso indica? |
|---|---|---|
| Verificação de porta | Identifica um IP de origem realizando a varredura de várias portas abertas no Azure Firewall. | Verificação mal-intencionada de portas por um invasor, tentando revelar portas abertas na organização que podem ser comprometidas para acesso inicial. |
| Varredura de porta | Identifica um IP de origem que está varrendo as mesmas portas abertas em diferentes IPs do Firewall do Azure. | Verificação mal-intencionada de uma porta por um invasor tentando revelar IPs com portas vulneráveis específicas abertas na organização. |
| Taxa de negação anormal para IP de origem | Identifica uma taxa de negação anormal para um IP de origem específico para um IP de destino com base no aprendizado de máquina feito durante um período configurado. | Exfiltração potencial, acesso inicial ou C2, em que um invasor tenta explorar a mesma vulnerabilidade em computadores na organização, mas as regras do Firewall do Azure a bloqueiam. |
| Porta anormal para protocolo | Identifica a comunicação de um protocolo conhecido em uma porta não padrão com base no aprendizado de máquina feito durante um período de atividade. | Comunicação mal-intencionada (C2) ou exfiltração por invasores que tentam se comunicar por portas conhecidas (SSH, HTTP), mas não usam os cabeçalhos de protocolo conhecidos que correspondem ao número da porta. |
| Várias fontes afetadas pelo mesmo destino de TI | Identifica vários computadores que estão tentando entrar em contato com o mesmo destino bloqueado pela TI (inteligência contra ameaças) no Firewall do Azure. | Um ataque à organização pelo mesmo grupo de ataque que tenta exfiltrar dados da organização. |
Consultas de busca
Consultas de busca são uma ferramenta para o pesquisador de segurança procurar ameaças na rede de uma organização, após um incidente ter ocorrido ou proativamente para descobrir ataques novos ou desconhecidos. Para fazer isso, os pesquisadores de segurança analisam vários indicadores de comprometimento (IOCs). As consultas internas de busca do Azure Sentinel na solução de Firewall do Azure fornecem aos pesquisadores de segurança as ferramentas necessárias para encontrar atividades de alto impacto dos logs de firewall. Vários exemplos incluem:
| Consulta de busca | O que ela faz? | O que isso indica? |
|---|---|---|
| Primeira vez que um IP de origem se conecta à porta de destino | Ajuda a identificar uma indicação comum de um ataque (IOA) quando um novo host ou IP tenta se comunicar com um destino usando uma porta específica. | Com base no aprendizado sobre o tráfego normal durante um período especificado. |
| Primeira conexão de um IP de origem com um destino. | Ajuda a identificar um IOA quando a comunicação maliciosa é feita pela primeira vez a partir de máquinas que nunca acessaram o destino antes. | Com base no aprendizado sobre o tráfego normal durante um período especificado. |
| O IP de origem se conecta anormalmente a vários destinos | Identifica um IP de origem que se conecta anormalmente a vários destinos. | Indica as tentativas iniciais de acesso por invasores que tentam pular entre diferentes computadores na organização, explorando o caminho de movimento lateral ou a mesma vulnerabilidade em computadores diferentes para encontrar computadores vulneráveis para acessar. |
| Porta incomum para a organização | Identifica portas anormais usadas na rede da organização. | Um invasor pode ignorar portas monitoradas e enviar dados por meio de portas incomuns. Isso permite que os invasores evitem a detecção de sistemas de detecção de rotina. |
| Conexão de porta incomum com o IP de destino | Identifica portas anormais usadas por computadores para se conectar a um IP de destino. | Um invasor pode ignorar portas monitoradas e enviar dados por meio de portas incomuns. Isso também pode indicar um ataque de exfiltração de computadores na organização usando uma porta que nunca foi usada no computador para comunicação. |
Automatizar a resposta e a correlação com outras fontes
Por fim, o Firewall do Azure também inclui guias estratégicos do Azure Sentinel, que permitem automatizar a resposta a ameaças. Por exemplo, digamos que o firewall registre um evento em que um determinado dispositivo na rede tenta se comunicar com a Internet por meio do protocolo HTTP em uma porta TCP não padrão. Essa ação dispara uma detecção no Azure Sentinel. O guia estratégico automatiza uma notificação para a equipe de operações de segurança por meio do Microsoft Teams e os analistas de segurança podem bloquear o endereço IP de origem do dispositivo com uma única seleção. Isso impede que ele acesse a Internet até que uma investigação possa ser concluída. Os playbooks permitem que esse processo seja muito mais eficiente e simplificado.
Exemplo do mundo real
Vamos examinar a aparência da solução totalmente integrada em um cenário do mundo real.
O ataque e a prevenção inicial pelo Firewall do Azure
Um representante de vendas da empresa abriu acidentalmente um email de phishing e abriu um arquivo PDF contendo malware. O malware tenta imediatamente se conectar a um site mal-intencionado, mas o Firewall do Azure o bloqueia. O firewall detectou o domínio usando o feed de inteligência de ameaças da Microsoft que ele consome.
A resposta
A tentativa de conexão dispara uma detecção no Azure Sentinel e inicia o processo de automação do playbook para notificar a equipe de operações de segurança por meio de um canal do Teams. Lá, o analista pode impedir que o computador se comunique com a Internet. Em seguida, a equipe de operações de segurança notifica o departamento de TI que remove o malware do computador do representante de vendas. No entanto, adotando uma abordagem proativa e investigando mais a fundo, o pesquisador de segurança aplica as consultas de caça do Firewall do Azure e executa a consulta IP de origem se conecta anormalmente a múltiplos destinos. Isso revela que o malware no computador infectado tentou se comunicar com vários outros dispositivos na rede mais ampla e tentou acessar vários deles. Uma dessas tentativas de acesso foi bem-sucedida, pois não houve uma segmentação de rede adequada para impedir o movimento lateral na rede, e o novo dispositivo teve uma vulnerabilidade conhecida que o malware explorou para infectá-lo.
O resultado
O pesquisador de segurança removeu o malware do novo dispositivo, concluiu a mitigação do ataque e descobriu uma fraqueza de rede no processo.