Ao tornar-se no primeiro Managed Security Service Provider a disponibilizar serviços sobre Azure Sentinel, a Claranet dotou o seu SOC de soluções diferenciadoras para proteger as organizações neste “novo normal”.
A migração para serviços na Cloud antes da pandemia, e a aceleração da passagem dos colaboradores para regime de teletrabalho durante a pandemia, alteraram de forma significativa o paradigma da segurança da informação. Hoje, os ativos digitais das organizações apresentam uma exposição bastante mais distribuída, tornando insuficientes as estratégias de monitorização de perímetro.
A oferta dos serviços do Security Operations Center (SOC) da Claranet baseados no Azure Sentinel - um SIEM (Security Incident Event Management) desenvolvido na Cloud e para a Cloud -, vem precisamente endereçar estas necessidades. A solução confere ao SOC uma visão holística de segurança dos ativos digitais dos clientes, estejam esses ativos na Cloud, ou nas instalações do próprio.
Através da correlação de eventos no SIEM, é possível associar de forma muito próxima a monitorização direta (“internal monitoring”) dos ativos digitais da organização com os indicadores de compromisso (IoC) oriundos de diversas fontes de threat intelligence (“external monitoring”), acelerando a deteção de ameaças previamente identificadas pelos mais variados profissionais de cibersegurança em todo o mundo.
Ao basear os serviços de segurança no Azure Sentinel, o SOC da Claranet consegue uma visão alargada e integrada dos riscos, oriundos de várias fontes e localizações, garantindo uma proteção mais ampla dos ativos digitais dos clientes.
Olhando mais ao pormenor para as vantagens alcançadas no SOC Claranet com a utilização deste SIEM, elas derivam, em grande parte, das estratégias de ingestão de threat intelligence.
Em baixo, apresento alguns exemplos dessas estratégias e do tipo de visualização da informação resultante dessa mesma ingestão:
Configuração de conectores de fontes de threat intelligence no Azure Sentinel
-
O conector Threat Intelligence - TAXII permite ingerir o conteúdo de collections à escolha, desde que disponíveis em servidores TAXII v2.x (mais detalhes sobre formato STIX e protocolo TAXII, aqui).
As collections tipicamente incluem indicadores de compromisso (IoC), como endereços IP, domínios, url, ficheiros, entre outros, associados aos mais variados setores e vetores de atividade criminosa (por exemplo spam, phishing, malware, negação de serviço, etc.).
A configuração deste conector em Sentinel é extremamente simples, requerendo apenas a identificação da origem das collections (API root URL), a collection pretendida e os dados de autenticação.
-
O conector Threat Intelligence Platform, por seu lado, permite um nível de customização superior, com alguma complexidade adicional ao nível da configuração. Aqui, além da criação da aplicação propriamente dita, há que assegurar um processo administrativo (registo de aplicação) e de gestão de permissões.
-
Para a criação da aplicação, o Azure Sentinel disponibiliza o Logic Apps Designer. A imagem do lado ilustra a criação de uma Logic App para recolha de IoC’s de determinados tipos (IP, domain, url, file) do OTX Alienvault.
A validação das configurações pode ser feita no próprio conector, que valida condições de sucesso e de erro. No entanto, a validação final passa sempre por visualizar os logs ingeridos.
Visualização da informação ingerida
Os dados ingeridos pelos conectores Threat Intelligence - TAXII e Threat Intelligence Platform ficam disponíveis na tabela ThreatIntelligenceIndicator.
Essa informação pode ser visualizada, por exemplo, na secção de Logs (ver imagem abaixo), aplicando a query que consiste apenas no nome da tabela.
Utilizando os Workbooks, que reúnem os conjuntos de dashboards, é possível visualizar esta informação de forma mais estruturada (imagem seguinte).
A forma mais eficiente de obter uma visualização otimizada desta informação passa pela edição de templates de workbooks disponibilizados pela Microsoft no Azure Sentinel, customizando os diversos dashboards.
Estratégias que fazem a diferença
Em jeito de conclusão, as estratégias de ingestão e visualização de informação que apresento neste artigo acabam por ser aplicáveis à generalidade das fontes de dados de interesse para a atividade de um SOC.
Essas estratégias constituem os dois primeiros passos da integração de fontes de dados no SIEM Azure Sentinel. Seguem-se tipicamente o threat hunting e a criação de regras de deteção de incidentes, baseadas em linguagem KQL (Kusto Query Language), que servem de ponto de partida aos serviços de MDR (managed detection and response). Por norma, nestes serviços são utilizadas as funcionalidades de investigação e, numa fase mais madura, de automação.
Para mais informações sobre outras características técnicas e vantagens operacionais disponibilizadas pela Claranet em Azure Sentinel, consulte as páginas de Cybersecurity no site da Claranet.
