Detectando ameaças com o Microsoft Sentinel (criação de regras e alertas)

Detectando ameaças com o Microsoft Sentinel (criação de regras e alertas)

01/03/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na detecção proativa de ameaças utilizando o Microsoft Sentinel, o SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation, and Response) nativo da nuvem da Microsoft. O Microsoft Sentinel oferece uma visão unificada de segurança em toda a empresa, coletando dados de diversas fontes, detectando ameaças, investigando incidentes e respondendo a eles de forma automatizada [1].

Introdução

Em um cenário de ameaças cibernéticas cada vez mais complexo e volumoso, as organizações precisam de ferramentas que não apenas coletem dados de segurança, mas que também os analisem de forma inteligente para identificar atividades maliciosas. O Microsoft Sentinel preenche essa lacuna, permitindo que as equipes de segurança monitorem, detectem e respondam a ameaças em tempo real. A criação de regras de análise e alertas é o coração da capacidade de detecção do Sentinel, transformando vastos volumes de logs em insights acionáveis [2].

Este guia prático abordará a configuração de regras de análise no Microsoft Sentinel, desde a ingestão de dados até a criação de alertas personalizados e a validação de sua eficácia. Serão fornecidas instruções passo a passo, exemplos de consultas KQL (Kusto Query Language) e descrições para que o leitor possa implementar e otimizar a detecção de ameaças em seu ambiente, fortalecendo a postura de segurança e agilizando a resposta a incidentes.

Por que o Microsoft Sentinel para Detecção de Ameaças?

  • Escalabilidade na Nuvem: Baseado no Azure, oferece escalabilidade ilimitada para ingestão e armazenamento de logs.
  • Inteligência de Ameaças Integrada: Utiliza a inteligência de ameaças da Microsoft e de parceiros para enriquecer a detecção.
  • Análise Comportamental (UEBA): Identifica anomalias e comportamentos suspeitos de usuários e entidades.
  • Automação (SOAR): Permite automatizar respostas a incidentes através de playbooks.
  • Visibilidade Abrangente: Conecta-se a diversas fontes de dados, incluindo Microsoft 365, Azure, AWS, Google Cloud e soluções de segurança de terceiros.

Pré-requisitos

Para configurar a detecção de ameaças com o Microsoft Sentinel, você precisará dos seguintes itens:

  1. Assinatura do Azure: Uma assinatura ativa do Microsoft Azure.
  2. Acesso Administrativo: Uma conta com permissões de Colaborador do Sentinel ou Administrador de Log Analytics no portal do Azure (portal.azure.com).
  3. Workspace do Log Analytics: Um workspace do Log Analytics configurado, que serve como o repositório de dados para o Sentinel.
  4. Microsoft Sentinel Ativo: O Microsoft Sentinel deve estar habilitado no workspace do Log Analytics.
  5. Conectores de Dados Configurados: Dados de segurança (logs) devem estar sendo ingeridos no workspace do Log Analytics a partir de fontes como Azure AD, Microsoft 365, Microsoft Defender for Endpoint, firewalls, etc. [3].

Passo a Passo: Criando Regras de Análise e Alertas

Vamos criar uma regra de análise agendada para detectar um cenário de ameaça comum: múltiplas falhas de login em um curto período de tempo, indicando uma tentativa de força bruta.

1. Verificar Conectores de Dados

Antes de criar regras, certifique-se de que os dados relevantes estão sendo ingeridos. Para detecção de falhas de login, precisamos de logs do Azure Active Directory (Microsoft Entra ID).

  1. Acesse o portal do Azure: https://portal.azure.com.
  2. Navegue até Microsoft Sentinel.
  3. No painel de navegação esquerdo, selecione Conectores de dados.
  4. Procure por Azure Active Directory e verifique se o status está Conectado.

2. Criar uma Regra de Análise Agendada

Vamos criar uma regra que detecta 5 ou mais falhas de login de um mesmo IP em 10 minutos.

  1. No Microsoft Sentinel, no painel de navegação esquerdo, selecione Análise.
  2. Clique em + Criar > Regra de consulta agendada.

Etapa 1: Geral

  1. Nome: Tentativa de Força Bruta no Azure AD
  2. Descrição: Detecta múltiplas falhas de login do Azure AD de um mesmo endereço IP em um curto período, indicando possível ataque de força bruta.
  3. Táticas: Selecione Credential Access.
  4. Severidade: Média.
  5. Status: Habilitado.
  6. Clique em Próximo: Definir lógica da regra.

Etapa 2: Definir lógica da regra

  1. Consulta de regra: Insira a consulta KQL:
SigninLogs
| where ResultType == "50126" // Falha na validação de credencial
| summarize FailedLogins = count() by IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| where FailedLogins >= 5
| extend AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Mapeamento de entidades: Mapeie as entidades para enriquecer os alertas. Em Mapeamento de entidades, adicione:

    • Conta: AccountCustomEntity
    • Endereço IP: IPCustomEntity

  2. Agendamento de consulta:

    • Executar consulta a cada: 10 Minutos
    • Dados de pesquisa dos últimos: 10 Minutos

  3. Limite de alertas: Deixe o padrão Gerar alerta quando o número de resultados da consulta for maior que 0.

Etapa 3: Configurações do incidente

  1. Criar incidentes a partir de alertas acionados por esta regra de análise: Habilitado.
  2. Agrupamento de alertas: Agrupar alertas em um único incidente se todos os alertas forem gerados da mesma entidade.

Etapa 4: Resposta automatizada

Opcionalmente, você pode anexar um playbook (baseado em Logic Apps) para automatizar ações, como bloquear o endereço IP no firewall ou desabilitar a conta de usuário.

Etapa 5: Revisar e criar

Revise todas as configurações e clique em Criar.

Investigando Alertas e Incidentes

Quando a regra detectar a atividade suspeita, um incidente será criado.

  1. No Microsoft Sentinel, vá para Incidentes.
  2. Clique no incidente gerado pela sua regra.
  3. Na página de detalhes do incidente, você verá:
    • Linha do tempo: Uma cronologia dos alertas.
    • Entidades: As entidades mapeadas (usuário e IP), que podem ser investigadas mais a fundo.
    • Gráfico de investigação: Uma visualização gráfica das conexões entre as entidades.

Use essas ferramentas para entender o escopo do ataque e tomar as ações de resposta necessárias.

Utilizando Modelos de Regras de Análise (Analytics Rule Templates)

O Microsoft Sentinel vem com centenas de modelos de regras pré-construídos pela Microsoft e sua comunidade de segurança. Utilizá-los é uma forma rápida de aumentar sua capacidade de detecção.

  1. Em Análise, vá para a aba Modelos de regra.
  2. Filtre por fontes de dados, táticas do MITRE ATT&CK®, etc.
  3. Selecione um modelo relevante (ex: Anomalous sign-in location).
  4. Clique em Criar regra no painel de detalhes. O assistente será preenchido com a lógica e as configurações do modelo, que você pode personalizar antes de criar a regra ativa.

Conclusão

A criação de regras de análise personalizadas no Microsoft Sentinel é uma capacidade essencial para qualquer equipe de segurança. Ao transformar dados brutos em detecções acionáveis, as organizações podem identificar proativamente ameaças como ataques de força bruta, movimentação lateral e exfiltração de dados. Combinado com a automação de respostas e os modelos de regras existentes, o Sentinel capacita os analistas a se concentrarem no que é mais importante: proteger a organização.

Referências

[1] Microsoft. (2023). O que é o Microsoft Sentinel? [2] Microsoft. (2023). Visualizar e investigar incidentes no Microsoft Sentinel. [3] Microsoft. (2023). Trabalhar com conectores de dados do Microsoft Sentinel.