Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Agora você pode obter deteção e prevenção na forma de uma solução de Firewall do Azure fácil de implantar para o Azure Sentinel.
A segurança é um equilíbrio constante entre defesas proativas e reativas. Ambos são igualmente importantes, e nenhum deles pode ser negligenciado. Proteger eficazmente a sua organização significa otimizar constantemente tanto a prevenção como a deteção.
A combinação de prevenção e deteção permite garantir que você previna ameaças sofisticadas quando puder, ao mesmo tempo em que mantém uma mentalidade de violação assumida para detetar e responder rapidamente a ataques cibernéticos.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Capacidades chave
Ao integrar o Firewall do Azure ao Microsoft Sentinel, você habilita os seguintes recursos:
- Monitorar e visualizar atividades do Firewall do Azure
- Detete ameaças e aplique recursos de investigação assistida por IA
- Automatize as respostas e a correlação com outras fontes
Toda a experiência é empacotada como uma solução no mercado Microsoft Sentinel, o que significa que pode ser implantada com relativa facilidade.
Implantar e habilitar a solução de Firewall do Azure para Microsoft Sentinel
Você pode implantar rapidamente a solução a partir do hub de conteúdo. No espaço de trabalho do Microsoft Sentinel, selecione Analytics e, em seguida, Mais conteúdo no hub de conteúdo. Procure e selecione Firewall do Azure e, em seguida, selecione Instalar.
Uma vez instalado, selecione Gerenciar , siga todas as etapas do assistente, passe na validação e crie a solução. Com apenas algumas seleções, todo o conteúdo, incluindo conectores, deteções, pastas de trabalho e playbooks são implantados no seu espaço de trabalho do Microsoft Sentinel.
Monitorar e visualizar atividades do Firewall do Azure
A pasta de trabalho do Firewall do Azure permite visualizar eventos do Firewall do Azure. Com esta pasta de trabalho, você pode:
- Saiba mais sobre o seu aplicativo e regras de rede
- Veja estatísticas de atividades de firewall em URLs, portas e endereços
- Filtrar por firewall e grupo de recursos
- Filtre dinamicamente por categoria com conjuntos de dados fáceis de ler ao investigar um problema nos logs.
A pasta de trabalho fornece um único painel para monitoramento contínuo da atividade do firewall. Quando se trata de deteção, investigação e resposta a ameaças, a solução de Firewall do Azure também fornece recursos internos de deteção e caça.
Detete ameaças e use recursos de investigação assistida por IA
As regras de deteção da solução fornecem ao Microsoft Sentinel um método poderoso para analisar sinais do Firewall do Azure para detetar tráfego que representa padrões de atividade mal-intencionados atravessando a rede. Isso permite uma resposta rápida e remediação das ameaças.
Os estágios de ataque que um adversário persegue dentro da solução de firewall são segmentados com base na estrutura MITRE ATT&CK . A estrutura MITRE é uma série de etapas que traçam estágios de um ataque cibernético desde os estágios iniciais de reconhecimento até a exfiltração de dados. A estrutura ajuda os defensores a entender e combater ransomware, violações de segurança e ataques avançados.
A solução inclui deteções para cenários comuns que um adversário pode usar como parte do ataque, desde o estágio de descoberta (obtenção de conhecimento sobre o sistema e a rede interna) até o estágio de comando e controle (C2) (comunicação com sistemas comprometidos para controlá-los) até o estágio de exfiltração (adversário tentando roubar dados da organização).
| Regra de deteção | O que faz? | O que indica? |
|---|---|---|
| Varredura de porta | Identifica um IP de origem que verifica várias portas abertas no Firewall do Azure. | Varredura maliciosa de portas por um invasor, tentando revelar portas abertas na organização que podem ser comprometidas para acesso inicial. |
| Varredura do porto | Identifica um IP de origem verificando as mesmas portas abertas nos IPs diferentes do Firewall do Azure. | Varredura maliciosa de portas por um invasor tentando revelar IPs com portas vulneráveis específicas abertas na organização. |
| Taxa de negação anormal para IP de origem | Identifica uma taxa de negação anormal de um IP de origem específico para um IP de destino com base no aprendizado de máquina feito durante um período configurado. | Exfiltração potencial, acesso inicial ou C2, em que um invasor tenta explorar a mesma vulnerabilidade em máquinas na organização, mas as regras do Firewall do Azure a bloqueiam. |
| Porta anormal de protocolo | Identifica a comunicação para um protocolo bem conhecido em uma porta não padrão com base no aprendizado de máquina feito durante um período de atividade. | Comunicação maliciosa (C2) ou exfiltração por atacantes que tentam comunicar através de portas conhecidas (SSH, HTTP), mas não utilizam os cabeçalhos de protocolo conhecidos que correspondem ao número da porta. |
| Várias fontes afetadas pelo mesmo destino de TI | Identifica várias máquinas que estão tentando chegar ao mesmo destino bloqueadas por inteligência de ameaças (TI) no Firewall do Azure. | Um ataque à organização pelo mesmo grupo de ataque tentando exfiltrar dados da organização. |
Consultas de procura
As consultas de caça são uma ferramenta para o pesquisador de segurança procurar ameaças na rede de uma organização, seja após a ocorrência de um incidente ou proativamente para descobrir ataques novos ou desconhecidos. Para fazer isso, os pesquisadores de segurança analisam vários indicadores de comprometimento (IOCs). As consultas de caça do Azure Sentinel incorporadas na solução Firewall do Azure fornecem aos investigadores de segurança as ferramentas de que necessitam para encontrar atividades de alto impacto a partir dos registos de firewall. Vários exemplos incluem:
| Consulta de caça | O que faz? | O que indica? |
|---|---|---|
| Primeira vez que um IP de origem se conecta à porta de destino | Ajuda a identificar uma indicação comum de um ataque (IOA) quando um novo host ou IP tenta se comunicar com um destino usando uma porta específica. | Baseando-se na aprendizagem do tráfego regular ao longo de um período especificado. |
| Primeira vez que o IP de origem se conecta a um destino | Ajuda a identificar um IOA quando a comunicação maliciosa é feita pela primeira vez a partir de máquinas que nunca acessaram o destino antes. | Baseando-se na aprendizagem do tráfego regular ao longo de um período especificado. |
| IP de origem se conecta anormalmente a vários destinos | Identifica um IP de origem que se conecta anormalmente a vários destinos. | Indica tentativas iniciais de acesso por atacantes que tentam saltar entre máquinas diferentes na organização, explorando o caminho de movimento lateral ou a mesma vulnerabilidade em máquinas diferentes para encontrar máquinas vulneráveis para acessar. |
| Porta incomum para a organização | Identifica portas anormais usadas na rede da organização. | Um invasor pode ignorar portas monitoradas e enviar dados através de portas incomuns. Isso permite que os invasores evitem a deteção de sistemas de deteção de rotina. |
| Conexão de porta incomum com IP de destino | Identifica portas anormais usadas por máquinas para se conectar a um IP de destino. | Um invasor pode ignorar portas monitoradas e enviar dados através de portas incomuns. Isso também pode indicar um ataque de exfiltração por parte de máquinas da organização por meio de uma porta que nunca foi usada na máquina para comunicação. |
Automatize a resposta e a correlação com outras fontes
Por fim, o Firewall do Azure também inclui manuais do Azure Sentinel, que permitem automatizar a resposta a ameaças. Por exemplo, digamos que o firewall registra um evento em que um determinado dispositivo na rede tenta se comunicar com a Internet por meio do protocolo HTTP por uma porta TCP não padrão. Essa ação dispara uma deteção no Azure Sentinel. O manual automatiza uma notificação para a equipe de operações de segurança via Microsoft Teams, e os analistas de segurança podem bloquear o endereço IP de origem do dispositivo com uma única seleção. Isso impede que ele acesse a Internet até que uma investigação possa ser concluída. Os playbooks permitem que este processo seja muito mais eficiente e simplificado.
Exemplo do mundo real
Vejamos como é a solução totalmente integrada em um cenário do mundo real.
O ataque e a prevenção inicial pelo Firewall do Azure
Um representante de vendas da empresa abriu acidentalmente um e-mail de phishing e abriu um arquivo PDF contendo malware. O malware tenta se conectar imediatamente a um site mal-intencionado, mas o Firewall do Azure o bloqueia. O firewall detetou o domínio usando o feed de inteligência de ameaças da Microsoft que ele consome.
A resposta
A tentativa de conexão desencadeia uma deteção no Azure Sentinel e inicia o processo de automação do playbook para notificar a equipa de operações de segurança através de um canal do Microsoft Teams. Lá, o analista pode bloquear o computador de se comunicar com a Internet. Em seguida, a equipe de operações de segurança notifica o departamento de TI, que remove o malware do computador do representante de vendas. No entanto, adotando a abordagem proativa e examinando mais profundamente, o pesquisador de segurança aplica as consultas de monitorização do Firewall do Azure e executa a consulta IP de origem que se conecta anormalmente a vários destinos. Isso revela que o malware no computador infetado tentou se comunicar com vários outros dispositivos na rede mais ampla e tentou acessar vários deles. Uma dessas tentativas de acesso foi bem-sucedida, pois não havia segmentação de rede adequada para impedir o movimento lateral na rede, e o novo dispositivo tinha uma vulnerabilidade conhecida que o malware explorava para infetá-lo.
O resultado
O pesquisador de segurança removeu o malware do novo dispositivo, concluiu a mitigação do ataque e descobriu uma fraqueza de rede no processo.