Entender a análise comportamental

  • 8 minutos

Identificar ameaças dentro de sua organização e seu potencial impacto - seja uma entidade comprometida ou um insider mal-intencionado - sempre foi um processo demorado e trabalhoso. Quando você analisa alertas, conecta os pontos e caça ativamente, isso representa uma enorme quantidade de tempo e esforço gastos com retorno mínimo. E a possibilidade de ameaças sofisticadas escaparem da descoberta. Ameaças evasivas como ameaças persistentes de dia zero, direcionadas e avançadas podem ser as mais perigosas para sua organização, tornando sua detecção ainda mais crítica.

A capacidade de Comportamento da Entidade no Microsoft Sentinel elimina o trabalho tedioso dos analistas e a incerteza de seus esforços. A capacidade de comportamento da entidade fornece inteligência de alta fidelidade e acionável, para que eles possam se concentrar na investigação e remediação.

À medida que o Microsoft Sentinel coleta logs e alertas de todas as fontes de dados conectadas, ele analisa e cria perfis comportamentais de linha de base das entidades da sua organização (usuários, hosts, endereços IP, aplicativos etc.). A análise abrange o horizonte temporal e o grupo de pares. O Microsoft Sentinel usa várias técnicas e recursos de aprendizado de máquina e, em seguida, pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Além disso, ele também pode descobrir a confidencialidade relativa de ativos específicos, identificar grupos de ativos de pares e avaliar o possível impacto dos ativos comprometidos (o "raio de transmissão" deles). Munido dessas informações, você pode priorizar efetivamente a investigação e o tratamento de incidentes.

Visão geral da arquitetura

Diagrama da visão geral da arquitetura do E U B A.

Análise orientada por segurança

Microsoft adotou o paradigma da Gartner para soluções UEBA, o Microsoft Sentinel fornece uma abordagem "de fora para dentro", com base em três quadros de referência:

Casos de uso: O Microsoft Sentinel prioriza os vetores e cenários de ataque relevantes com base em pesquisas de segurança alinhadas com a estrutura MITRE ATT&CK de táticas, técnicas e subtecniques. A priorização identifica várias entidades como vítimas, autores ou pontos dinâmicos na cadeia de morte. O Microsoft Sentinel se concentra especificamente nos logs mais valiosos que cada fonte de dados pode fornecer.

Fontes de dados: embora o suporte às fontes de dados do Azure seja o mais importante, o Microsoft Azure Sentinel seleciona cuidadosamente as fontes de dados de terceiros para fornecer dados que correspondam aos nossos cenários de ameaça.

Analytics: O Microsoft Sentinel usa algoritmos de ML (machine learning) e identifica atividades anômalas que apresentam evidências de forma clara e concisa na forma de enriquecimentos contextuais. Confira os exemplos abaixo.

Imagem de enriquecimento de análise orientada à segurança.

O Microsoft Azure Sentinel apresenta artefatos que ajudam os analistas de segurança a obter uma compreensão clara das atividades anômalas no contexto e em comparação ao perfil de linha de base do usuário. As ações executadas por um usuário (ou um host ou um endereço) são avaliadas contextualmente, em que um resultado "true" indica uma anomalia identificada:

  • Em diferentes localizações geográficas, dispositivos e ambientes.

  • Em horizontes de tempo e frequência (comparado ao histórico do próprio usuário).

  • Em comparação com o comportamento dos pares.

  • Em comparação com o comportamento de uma organização.

imagem mostrando os anéis de contexto E U B A.

Pontuação

Cada atividade é pontuada com "Pontuação de Prioridade de Investigação". A pontuação determina a probabilidade de um usuário específico executar uma atividade específica com base no aprendizado comportamental do usuário e de seus pares. As atividades identificadas como mais anormais recebem as pontuações mais altas (em uma escala de 0 a 10).