Rilevamento delle minacce con Microsoft Sentinel (creazione di regole e avvisi)

Rilevamento delle minacce con Microsoft Sentinel (creazione di regole e avvisi)

01/03/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nel rilevamento proattivo delle minacce utilizzando Microsoft Sentinel, SIEM (Security Information and Event Management) nativo del cloud Microsoft e SOAR (Security Orchestration, Automation e Response). Microsoft Sentinel fornisce una visione unificata della sicurezza in tutta l'azienda raccogliendo dati da più fonti, rilevando minacce, indagando sugli incidenti e rispondendo in modo automatizzato [1].

Introduzione

In un panorama delle minacce informatiche sempre più complesso e voluminoso, le organizzazioni necessitano di strumenti che non solo raccolgano dati sulla sicurezza, ma li analizzino anche in modo intelligente per identificare attività dannose. Microsoft Sentinel colma questa lacuna consentendo ai team di sicurezza di monitorare, rilevare e rispondere alle minacce in tempo reale. La creazione di regole e avvisi di analisi è il cuore delle capacità di rilevamento di Sentinel, trasformando grandi volumi di log in informazioni utili [2].

Questa guida pratica riguarderà la configurazione delle regole di analisi in Azure Sentinel, dall'inserimento dei dati alla creazione di avvisi personalizzati e alla convalida della loro efficacia. Verranno fornite istruzioni dettagliate, esempi di query KQL (Kusto Query Language) e descrizioni in modo che il lettore possa implementare e ottimizzare il rilevamento delle minacce nel proprio ambiente, rafforzando il proprio livello di sicurezza e accelerando la risposta agli incidenti.

Perché Azure Sentinel per il rilevamento delle minacce?

  • Scalabilità del cloud: basato su Azure, offre scalabilità illimitata per l'inserimento e l'archiviazione dei log.
  • Intelligenza integrata sulle minacce: utilizza l'intelligence sulle minacce di Microsoft e dei partner per arricchire il rilevamento.
  • Analisi comportamentale (UEBA): identifica anomalie e comportamenti sospetti di utenti ed entità.
  • Automazione (SOAR): consente di automatizzare le risposte agli incidenti tramite playbook.
  • Visibilità completa: si connette a più origini dati, tra cui Microsoft 365, Azure, AWS, Google Cloud e soluzioni di sicurezza di terze parti.

Prerequisiti

Per configurare il rilevamento delle minacce con Azure Sentinel, saranno necessari i seguenti elementi:

  1. Abbonamento Azure: un abbonamento Microsoft Azure attivo.
  2. Accesso amministrativo: un account con autorizzazioni di collaboratore Sentinel o amministratore di Log Analytics nel portale di Azure (portal.azure.com).
  3. Area di lavoro Log Analytics: un'area di lavoro Log Analytics configurata che funge da repository di dati per Sentinel.
  4. Microsoft Sentinel attivo: Microsoft Sentinel deve essere abilitato nell'area di lavoro Log Analytics.
  5. Connettori dati configurati: i dati di sicurezza (log) devono essere inseriti nell'area di lavoro Log Analytics da origini come Azure AD, Microsoft 365, Microsoft Defender per endpoint, firewall e così via. [3].

Passo dopo passo: creazione di regole di analisi e avvisi

Creiamo una regola di analisi pianificata per rilevare uno scenario di minaccia comune: più errori di accesso in un breve periodo di tempo, che indicano un tentativo di forza bruta.

1. Controllare i connettori dati

Prima di creare regole, assicurati che i dati rilevanti vengano inseriti. Per il rilevamento degli errori di accesso, sono necessari i log di Azure Active Directory (ID Microsoft Entra).

  1. Vai al portale di Azure: "https://portal.azure.com".
  2. Passare a Microsoft Sentinel.
  3. Nel riquadro di navigazione a sinistra, seleziona Connettori dati.
  4. Cerca Azure Active Directory e verifica che lo stato sia Connesso.

2. Creare una regola di analisi pianificata

Creiamo una regola che rilevi 5 o più accessi falliti dallo stesso IP entro 10 minuti.

  1. In Azure Sentinel, nel riquadro di spostamento sinistro, selezionare Analisi.
  2. Fare clic su + Crea > Regola query pianificata.

Passaggio 1: generale

  1. Nome: "Tentativo di forza bruta di Azure AD".
  2. Descrizione: Rileva più errori di accesso ad Azure AD dallo stesso indirizzo IP entro un breve periodo di tempo, indicando un possibile attacco di forza bruta.
  3. Tattiche: seleziona "Accesso credenziali".
  4. Gravità: "Media".
  5. Stato: "Abilitato".
  6. Fare clic su Avanti: Defidefinire la logica delle regole.

Passaggio 2: definire la logica delle regole

  1. Query regola: inserisci la query KQL:
Log di accesso
| dove ResultType == "50126" // Convalida delle credenziali non riuscita
| riepilogare FailedLogins = count() per indirizzo IP, UserPrincipalName, bin (TimeGenerated, 10m)
| dove Login non riusciti >= 5
| estendi AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Mappatura delle entità: mappa le entità per arricchire gli avvisi. In Mappatura entità, aggiungi:

    • Account: AccountCustomEntity
    • Indirizzo IP: IPCustomEntity

  2. Fissazione di un appuntamento:

    • Esegui query ogni: 10 minuti
    • Dati di ricerca più recenti: 10 Minuti

  3. Limite avvisi: lascia l'impostazione predefinita "Genera avviso quando il numero di risultati della query è maggiore di 0".

Passaggio 3: impostazioni dell'incidente

  1. Crea incidenti dagli avvisi attivati da questa regola di analisi: abilitato.
  2. Raggruppamento degli avvisi: "Raggruppa gli avvisi in un singolo incidente se tutti gli avvisi sono generati dalla stessa entità".

Passaggio 4: risposta automatica

Facoltativamente, è possibile allegare un playbook (basato su app per la logica) per automatizzare azioni come il blocco dell'indirizzo IP nel firewall o la disabilitazione dell'account utente.

Passaggio 5: rivedi e crea

Controlla tutte le impostazioni e fai clic su Crea.

Indagine su avvisi e incidenti

Quando la regola rileva un'attività sospetta, viene creato un incidente.

  1. In Azure Sentinel passare a Incidenti.
  2. Fare clic sull'incidente generato dalla regola.
  3. Nella pagina dei dettagli dell'incidente, vedrai:
    • Cronologia: cronologia degli avvisi.
    • Entità: le entità mappate (utente e IP), che possono essere indagate ulteriormente.
    • Grafico di indagine: una visualizzazione grafica delle connessioni tra entità.

Utilizza questi strumenti per comprendere la portata dell'attacco e intraprendere le azioni di risposta necessarie.

Utilizzo dei modelli di regole di analisi

Microsoft Sentinel viene fornito con centinaia di modelli di regole predefiniti da Microsoft e dalla sua community di sicurezza. Usarli è un modo rapido per aumentare la capacità di rilevamento.

  1. In Analisi, vai alla scheda Modelli di regole.
  2. Filtra per origini dati, tattiche MITRE ATT&CK®, ecc.
  3. Seleziona un modello pertinente (ad esempio "Posizione di accesso anomala").
  4. Fai clic su Crea regola nel riquadro dei dettagli. La procedura guidata verrà compilata con la logica e le impostazioni del modello, che è possibile personalizzare prima di creare la regola attiva.

Conclusione

La creazione di regole di analisi personalizzate in Azure Sentinel è una funzionalità essenziale per qualsiasi team di sicurezza. Trasformando i dati grezzi in rilevamenti utilizzabili, le organizzazioni possono identificare in modo proattivo minacce come attacchi di forza bruta, movimento laterale ed esfiltrazione di dati. In combinazione con l'automazione della risposta e i modelli di regole esistenti, Sentinel consente agli analisti di concentrarsi su ciò che conta di più: proteggere l'organizzazione.

Riferimenti

[1]Microsoft. (2023). Cos'è Microsoft Sentinel? [2]Microsoft. (2023). Visualizza ed esamina gli incidenti in Microsoft Sentinel. [3]Microsoft. (2023). Funziona con i connettori dati Microsoft Sentinel.