Utilizando o Log Analytics do Application Insights para detectar anomalias em Web Apps 17 julho 2023 msincic Azure Sentinel, Cloud computing, Log Analytics, Segurança Em um post passado abordei o uso do Log do Application Insigths para visualizar ataques e anomalias Marcelo Sincic | Utilizando o Azure Application Insigths na Analise de Vulnerabilidades Porem, vi a necessidade de complementar para alguns que me pediram para integrar as consultas com logs do MCAS, Defender e outros. Partindo do principio que em todas as ferramentas utilizaremos KQL (Kusto Query Language) o primeiro passo é escrever o comando para isso e trazer o log como a imagem abaixo: Na consulta acima é possivel trazer os dados que estão no dashboard do artigo anterior, porem por estar escrito em KQL poderá customizar as colunas, formatos e filtra o que melhor lhe interessa. Por exemplo, poderá alerar a consulta original para trazer os IPs por paises que mais consultaram as páginas de seu site para detectar origens que deseja filtrar e barrar no firewall: AppRequests | where TimeGenerated > ago(1d) | where Success == False | summarize count() by ClientIP, ClientCountryOrRegion Outro exemplo é filtrar as requisições que tentaram baixar arquivos compactados diretamente de seu site, como o exemplo abaixo: AppRequests | where TimeGenerated > ago(1d) | where Success == False | where Url contains "zip" or Url contains "rar" | project ClientCountryOrRegion, ClientStateOrProvince, ClientCity, ClientIP, Url Um terceiro exemplo é eu conseguir identificar as tentativas de SQL Injection a partir dos comandos básicos utilizados para esse tipo de exploração de vulnerabilidade: AppRequests | where TimeGenerated > ago(1d) | where Success == False | where Url contains "select" or Url contains "union" | project Url, ClientCountryOrRegion, ClientStateOrProvince, ClientCity, ClientIP Conclusão Com o uso dos logs armazenados de sua aplicação será possivel visualizar os principais ataques e como se defender melhorando sua aplicação e ter um monitoramento de atividades.
Integrando e enriquecendo o Sentinel com dados do Virus Total 28 junho 2023 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Log Analytics, Microsoft Sentinel, Segurança Apresentando o Virus TotalO site Virus Total é um serviço muito conhecido do time de cibersegurança [Leia mais]
Sentinel Recon Workbook 18 maio 2023 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Microsoft Sentinel, Segurança Sabemos que o Microsoft Sentinel é uma ferramenta para capturar, analisar e gerar insights de segura [Leia mais]
Evitando vazamento de dados com o Microsoft Purview 22 novembro 2022 msincic Cloud computing, Microsoft Defender, Microsoft 365, Office 365, Office Communications, Segurança Durante o Microsoft Ignite After Party tive a oportunidade de apresentar novas funcionalidades do Purview que foram lançadas em GA. Aqui abrangemos 4 diferentes funcionalidades que tiveram lançamento, GA ou melhorarias: Data Classification – Classificadores treináveis (Trainable classifiers) e Lista de Dados exatos (EDM) Data Connectors – Conexão com WhatsApp, Google, Workspace, ServiceNow e outros Communication Compliance – Recurso para fazer revisão de possiveis ameaças tanto de DLP quanto abusos Insider Risk Management – Já tratado em outras palestras, mas permite detectar atividades suspeitas em detalhes (https://www.marcelosincic.com.br/post/detectando-atividades-suspeitas-com-o-irm-inside-risk-management.aspx)
Manutenção de Incidentes no Microsoft Sentinel 13 setembro 2022 msincic Azure Sentinel, Cloud computing, Cybersecurity, Governança, Microsoft Sentinel, Microsoft Azure, Segurança Um recurso que testamos no Private Preview e agora está em GA é a manutenção de incidentes, que envolve a deleção e criação. Create and delete incidents in Microsoft Sentinel - Microsoft Tech Community Deleção de Incidentes Pode parecer em um primeiro momento que deletar um incidente no ambiente de SOC seja uma tarefa fora do padrão, pois poderia ser usado para esconder ou melhorar uma estatística (KPI) do time de atendimento. Apesar de aparente contradição, esse recurso é importante pois nem sempre um incidente é encerrado ou tratado. Um exemplo comum é o Adaptative application que responde repetidamente a aplicações como o próprio Azure Arc ou Automation. Em casos em que o incidente não foi efetivo e nem um falso positivo por não ter a ver com uma brecha de segurança efetiva, a deleção pode ser um recurso útil ao invés de você passar a ignorar o alerta. Afinal, um dia uma aplicação realmente suspeita irá rodar no servidor e por ter ignorado a regra de aplicações suspeitas você não irá saber. Como pode ser visto acima, o recurso está bem visivel e acessível. Observação: Incidentes gerados por integração com Microsoft 365 Defender não podem ser deletados, já que foram linkados. Importante: Na tabela SecurityIncident estará registrado o incidente e quem o deletou. Não existe uma lixeira para recuperar o incidente, mas os alertas e o próprio incidente continuam registrados nas tabelas de log e você poderá eventualmente auditar os incidentes deletados para evitar manipulações indevidas. Criação Manual de Incidentes Esse recurso era esperado a um tempo e nem precisa de muita explicação, afinal usávamos alertas customizados para criar incidentes customizados. Isso dava trabalho, já que era necessário identificar uma situação que pudesse gerar um incidente mas que não fosse mapeada. Por exemplo um evento especifico que geravamos manual e mapeavamos um alerta em KQL para criar um incidente de um caso especifico. Mas isso nem sempre funcionava, por exemplo digamos que um usuário recebeu um phishing em seu email pessoal e abriu no computador da empresa e consequentemente não foi detectado pelo MDE. Neste caso registramos o incidente manualmente para constar nas atividades de SOC. Outro caso muito comum são as atividades de chamados de programas que não puderam ser instalados, atividades que foram barradas e foi necessário criar algum tipo de mitigação, etc. Nestes casos hoje o SOC não tinha como registrar estes incidentes, normalmente oriundos do sistema de chamados. O processo é bem simples, você irá utilizar o botão de criação de incidentes e informar todos os campos necessários e depois trabalhar com ele como faz com os outros incidentes. Agora seu dashboard de atendimento no SOC terá uma visão muito melhor, sem a necessidade de agregar mais de uma ferramenta.
Detectando Atividades Suspeitas com o IRM - Inside Risk Management 06 setembro 2022 msincic Cloud computing, Cybersecurity, Governança, Microsoft Defender, Office 365, Segurança Detectar atividades suspeitas trabalha com o comportamento dos usuários.Esse comportamento não se li [Leia mais]
Entregando Alertas do Sentinel no Teams 29 agosto 2022 msincic Segurança, Azure Sentinel, Cybersecurity, Cloud computing, Microsoft Sentinel Uma funcionalidade simples e muito funcional do Sentinel na integração com playbooks é a entrega como uma mensagem de chat no Teams. O exemplo abaixo demonstra como os alertas são entregues ao Teams com os detalhes do alerta que foi disparado. Criando o Logic Apps e Regra de Automação Quando são instalados os conectores do Sentinel automaticamente é criado um Logic Apps para automação, sem ter tasks configurados exceto a primeira que é o gatilho de incidente. Esse será o playbook que a todos os alertas habilitados é configurado como forma de resposta padrão. Ao editar o playbook entre no objeto For each que é o loop para possibilitar que vários incidentes sejam disparados e não só o primeiro. Isso pode acontecer em ambientes onde uma situação criou mais de um incidentes e a falta deste loop não dispararia para todos os que ocorressem. Note que o loop do For each lê os dados do incidente e os envia para o email com as propriedades abaixo para titulo, destinatario e texto enviado. No caso abaixo deletei o objeto padrão que era email e troquei pelo objeto Post message in a chat or channel que permite enviar a mensagem tanto para um usuário unico como para um grupo ou canal do Teams: O passo seguinte é criar no Sentinel a regra de disparo para o playbook de notificação. Veja que o nome é parecido por minha opção mas poderá usar qualquer outro nome, que poderá facilitar no momento de relacionar os alertas com a chamada de automação. Habilitando as Regras Analíticas para Envio no Teams Entre nas opções de Analytics do Sentinel, habilite as regras que deseja ser alertado e as edite. Nas opções da regra poderá editar a resposta automática de automação que criamos no passo anterior para que o playbook seja executado. Ao editar as regras pode-se criar novas respostas de automação sem ter que criar antes em Automation como fiz anteriormente, apesar de achar que isso pode gerar multiplos objetos orfãos posteriormente. Mas se desejar criar uma nova resposta, poderá clicar no botão Add new e nomear a automação e indicar qual dos playbooks será executado: Pronto, agora você irá receber os detalhes de incidentes diretamente pelo canal ou chat do Teams!
Usando o Comportamento de Entidade (Entity behavior) do Microsoft Sentinel 12 agosto 2022 msincic Azure Sentinel, Cybersecurity, Log Analytics, Microsoft Sentinel, Segurança O conceito de comportamento de entidade é muito importante em uma investigação ou suspeita de uso in [Leia mais]
Segurança para IoT Alem do Chão de Fábrica 26 julho 2022 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Microsoft Azure, Segurança Sempre abordamos com clientes a importancia de monitoração em ambientes fabris. Para isso faço sempr [Leia mais]
Microsoft Sentinel–Automações não são executadas 16 maio 2022 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Governança, Microsoft Azure, Segurança Um erro muito comum quando vejo as implementações de Sentinel em clientes é não executar as automaçõ [Leia mais]