Microsoft Defender for Cloud – Security alerts

O que são alertas de segurança?

Alertas são as notificações que o Defender for Cloud gera quando detecta ameaças em seus recursos. O Defender for Cloud prioriza e lista os alertas, juntamente com as informações necessárias para que você investigue rapidamente o problema. O Defender for Cloud também fornece passos detalhados para ajudá-lo a remediar ataques. Os dados dos alertas são retidos por 90 dias.

Como os alertas são classificados?

O Defender for Cloud atribui uma gravidade aos alertas, para ajudá-lo a priorizar a ordem em que você atende a cada alerta, para que quando um recurso seja comprometido, você possa chegar a ele imediatamente. A gravidade baseia-se no quão confiante o Defender for Cloud está na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que havia intenção maliciosa por trás da atividade que levou ao alerta.

SeveridadeResposta recomendada
AltoHá uma grande probabilidade de que seu recurso esteja comprometido. Você deve dar uma olhada imediatamente. O Defender for Cloud tem alta confiança tanto na intenção maliciosa quanto nas descobertas usadas para emitir o alerta. Por exemplo, um alerta que detecta a execução de uma ferramenta maliciosa conhecida como mimikatz, uma ferramenta comum usada para roubo de credenciais.
MédiaEsta é provavelmente uma atividade suspeita pode indicar que um recurso está comprometido. Defender a confiança da Cloud na análise ou descoberta é média e a confiança da intenção maliciosa é média a alta. Estes geralmente seriam detecção de aprendizado de máquina ou anomalias. Por exemplo, uma tentativa de login a partir de um local anômino.
BaixoIsso pode ser um positivo benigno ou um ataque bloqueado. Defender for Cloud não está confiante o suficiente de que a intenção é maliciosa e a atividade pode ser inocente. Por exemplo, log clear é uma ação que pode acontecer quando um invasor tenta esconder seus rastros, mas em muitos casos é uma operação de rotina realizada por administradores. Defender for Cloud não costuma dizer quando os ataques foram bloqueados, a menos que seja um caso interessante que sugerimos que você olhe.
InformativoUm incidente é tipicamente composto por uma série de alertas, alguns dos quais podem parecer por conta própria ser apenas informativos, mas no contexto dos outros alertas podem ser dignos de um olhar mais atento.

Exportação de Alertas

Você tem uma gama de opções para visualizar seus alertas fora do Defender for Cloud, incluindo:

  • Baixe o relatório CSV no painel de alertas fornece uma exportação única para CSV.
  • A exportação contínua das configurações do Ambiente permite configurar fluxos de alertas e recomendações de segurança para espaços de trabalho do Log Analytics e hubs de eventos.
  • O conector do Microsoft Sentinel transmite alertas de segurança do Microsoft Defender for Cloud para o Microsoft Sentinel.

Para maiores informções sobre alertas de segurança consulte a documentação oficial da Microsoft no link abaixo.

https://docs.microsoft.com/en-us/azure/defender-for-cloud/alerts-overview

01 – Faça login no portal do Azure.

02 – No portal pesquise por Microsoft Defender for Cloud.

02 – Na tela do Microsoft Defender for Cloud clique em Security alerts.

03 – Na tela Security alerts temos todos os alertas dos recursos adicionados no Microsoft Defender for Cloud, na parte superior temos o total de alertas, recursos afetados e alerta ativo por gravidade.

04 – Ainda na tela de  Security alerts temos alguns alertas dos recursos como podemos obervar na imagem abaixo, temos alguns pontos importantes como gravidade, título do alerta, recurso afetado, hora de início da atividade (UTC-3) e status.

Em nosso ambiente temos a máquina virtual “VM-02-Linux “percebam que essa máquina sofreu um ataque de força bruta SSH no dia 21/01/22 as 03:37 AM, o ataque não foi bem sucessido. Clique no alerta para maiores informações.

05 – Após selecionar o ataque, a tela do ataque será aberta, aqui temos algumas informações como gravidade do ataque e tempo de atividade, clique em View full details.

06 – Após o alerta ser aberto observe que temos o número de tentativas de autenticação,  as contas usadas na tentativa do ataque de força bruta, também podemos verificar se a sessão SSH foi iniciada.

Um pouco mais abaixo em Related entities, em Account podemos ver o nome das contas utilizadas na tentativa do ataque de força bruta.

Na opção IP (1) Includes Geo & Threat Intelligence podemos visualizar o endereço IP Público de onde o ataque foi executado, o estato e a cidade.

07 – Ainda na tela do alerta clique em Take action, observe que a Microsoft nos da algumas sugestões de como mitigar a ameaça e como prevenir ataques futuros, também podemos acionar respostas automáticas com o logic app.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.