Microsoft Defender for Cloud Secure Posture
Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações do Defender for Cloud para a postura de segurança.
Porque renomear de Secure Score para Secure Posture?
Dizer que você está 100% seguro não quer dizer que realmente não corre risco, e dizer que você possui uma postura 100% segura não quer dizer que não tem vulnerabilidades.
Vamos usar como analogia um motorista e seu veiculo. Esse motorista é cuidadoso e tem todas as manutenções em dia. Ele dirige com prudencia e raramente cometeria uma infração. Porem quantas vezes já não vimos alguem perder o controle porque um pneu furou, um buraco ou deslizamento na pista, defeito no motor, quebra de roda ou eixo, falha no freio e até um mal estar súbito?
Ou seja, sua POSTURA DE SEGURANÇA indica que você segue as recomendações para evitar ter problemas conhecidos, mas um brecha de segurança de um sistema operacional, aplicativo ou device não é um item que você tem como prever, apenas remediar…
Então renomear o “Secure Score” para “Secure Posture” mostra que você segue e tem os itens SOB O SEU CONTROLE remediados e controlados. Mas você ainda está sujeito aos problemas externos, vide os exemplo recenter de vulnerabilidades do iOS, Log4j, SolarWinds, Mikrotik, etc.
Agora o Secure Posture inclui AWS e GCP
Anteriormente já era possivel ingressar com contas AWS e GCP mas elas não refletiam no Score e nem permitiam aplicar as regras de compliance. Assim, era necessário que olhasse separadamente e extraisse dados em mais de uma plataformas para gerar um report de compliance único.
O que mudou é que o Secure Posture mostra todas as Clouds integradas e você verá isso ao entrar no Defender for Cloud a partir de hoje!
Quais as politicas e regras avaliadas?
Esse é um item bem interessante, pois as regras de compliance que você já aplicou ao Azure serão automaticamente duplicadas para representar a mesma postura de segurança no AWS.
Veja abaixo que os mesmos conjuntos de regras aplicadas nas subscrições Azure agora estão aplicadas e adaptadas ao AWS.
Porem é importante ressaltar que apenas de ser possivel exportar os relatórios de compliance não é possivel gerar os reports de auditoria (Audit reports). O motivo é que os relatórios de auditoria é baseado em regras de segurança do datacenter e não apenas do que é serviços, ou seja controle do provedor e do cliente. Por conta disso, cada provedor precisa ter seus próprios relatórios atestando a segurança lógica e física da infraestrutura.
Onboarding de contas AWS
Fazer o onboarding da conta AWS não é um processo trivial pois envolve criar um objeto no CloudWatch e configurar permissões. Mas fazer o processo pelo Azure é simples e ele possui o passo a passo do que deve ser feito e valida ao final.
Ao adicionar uma conta AWS será possivel escolher avaliar apenas a postura ou instalar automaticamente o Azure Arc nas VMs e capturar os logs com o Log Analytics.
Importante lembrar que você poderá usar as politicas e iniciativas do Azure agora no AWS, então os mesmos requisitos customizados que você possua será avaliado nos dois ambientes.
Conclusão
Para clientes com ambiente multicloud agora será possivel ter uma visualização unica da postura baseada nas regras customizadas ou regulamentares únicas.
Anuncio oficial: Security posture management and server protection for AWS and GCP are now generally available - Microsoft Tech Community
Azure Sentinel–MITRE Coverage
Outra feature que estava em private preview para MVPs e parceiros e agora se tornou público é o recurso de mapeamento dos alertas e huntng queries do Sentinel com a matriz de cobertura do MITRE.
Esse recurso não gera um custo já que ele é um dashboard que demonstra a matriz ao inves da lista de itens.
Como MITRE é mapeado atualmente
Hoje os alertas e hunting queries já trazem as técnicas MITRE que estão sendo abordadas como mostra a imagem abaixo:
Podemos observar que as táticas e técnicas já são mapeadas tanto no cabeçalho quando em cada um dos itens de pesquisa ativa do Sentinel.
Mas esses dados estão desestruturados e é necessário clicar para fazer um filtro das vulnerabilidades com o mapa de cobertura do MITRE, muito usado hoje.
Como o MITRE será mapeado agora com o Preview
Os mesmos dados da consulta acima, agora podem ser visto diretamente no mapa de cobertura MITRE:
Com esse mapa ficará muito mais fácil categorizar os diferentes tipos de vulnerabilidades que preciso me proteger já que ele me traz a possibilidade nos detalhes de abrir as queries que geraram os diferentes pontos de atenção!
Alem disso, tambem é possivel com a opção Simulated mapear quantos diferentes tipos de vulnerabilidades eu tenho cobertura, mesmo que não tenha resultado na query hoje.
Esse efeito de simulação é muito interessante pois me permite saber se o Sentinel tem o necessário para cobrir todos os pontos que me interessam e me permitirá ter uma visão gerencial incluindo as hunting queries que eu mesmo crie.
Anuncio do Public Preview: What’s Next in Microsoft Sentinel? - Microsoft Tech Community e documentação View MITRE coverage for your organization from Microsoft Sentinel | Microsoft Docs
Azure Sentinel–Log Search & Restore Preview
Um dos programas que a Microsoft disponibiliza a MVPs e parceiros é participar de previews privados para funcionalidades de Cloud Security.
Um destes recursos liberados para Public Preview recentemente foi o Log Search and Restore onde pode-se estender o tempo de log do Analytics alem de utilizar o próprio Sentinel para ler os dados destes logs armazenados.
Limitação Atual
Na versão GA o Sentinel guarda os logs por até 2 anos, sendo que pela interface visual é possivel configurar 90 dias e via PowerShell para até 755 dias.
Alem disso, ao configurar para 2 anos o log acaba gerando um custo mais alto por estar vinculado ao preço de armazenamento do Log Analytics que é por Giga.
Novos Limites e Custo
Neste Preview o log agora poderá ser guardado por 7 anos (2520 dias) alem de ter um custo menor que será divulgado no GA, porem muito menor que o atual.
Assim como no GA atual, a alteração pode ser feita via PowerShell para os 7 anos.
Mas para ajudar, vc pode usar o aplicativo disponibilizado no GitHub onde poderá escolher as tabelas e o tempo de arquivo para operação. Ou seja você pode colocar a tabela de alertas por 5 anos e a tabela de incidentes por 2 anos.
Link para o aplicativo de configuração: Azure-Sentinel/Tools/Archive-Log-Tool/ArchiveLogsTool-PowerShell at master · Azure/Azure-Sentinel · GitHub
Usando o Recurso
Vou demonstrar com prints abaixo do meu Preview como fiz o processo de Restore, Search e o resultado final.
Executando um Restore com o nome da tabela que desejo, a data inicial e final:
Na sequencia executei uma consulta abordando o tempo que configurei do Restore da tabela SecurityEvents com o nome do meu servidor:
Por fim, o resultado é uma nova Custom Table no Log Analytics com o nome indicado acima e os mais de 3 anos de eventos restaurados!!!
Anuncio do Preview: What's New: Search, Basic Ingestion, Archive, and Data Restoration are Now in Public Preview - Microsoft Tech Community
MITRE–Comparação entre EDRs
Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)
Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.
Como Avaliar um EDR?
Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.
Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.
Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.
Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?
Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:
- APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
- APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
- Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV
Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.
Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.
Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:
Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:
O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.
Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item
Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:
Como Reproduzir o Mesmo Ambiente Validado nos Testes?
Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.
Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.
Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:
Azure Purview como Ferramenta de Governança e Compliance
Desde a muito mantemos diagramas de bancos de dados em arquivos lógicos, que são utilizados pelos DBAs e desenvolvedores para criação de aplicações e recentemente de outras funções para dashboards.
Porem com o avanço de leis de compliance como GDPR e LGPD conhecer quem tem acesso e como acessa dados sensíveis se tornou um recurso essencial.
Muitas ferramentas de DLP já fazem com o uso de conectores esse mapeamento, como por exemplo o Security Center pode estender para SQL Server nos planos pagos.
Mas e se possuimos multiplas bases de dados em diferentes produtos, plataformas e serviços? Neste caso temos o Azure Purview.
O que o Purview oferece?
Com o catálogo de conectores você poderá incluir diversas fontes de dados que vão de SQL e Oracle a AWS S3 e Azure BLOB e descobrir o que está sendo disponibilizado e automaticamente mapear classificações e sensibilidade dos dados.
Por exemplo, quem são os usuários que consomem no Power BI uma determinada base de dados que contem cartões de crédito? Quais storage accounts possuem dados não estruturados contendo documentos pessoais dos clientes ou exames médicos?
Nessa linha de atuação é que teremos o Purview atuando, tanto para catalogar dados sensiveis como funcionar como um dicionário de dados e mapeamento de acesso aos dados da empresa pelo Power BI, por exemplo.
Requisitos do Purview
Para utilizar o Purview será necessário criar uma instancia de execução (começa com C1 de 4 “unidades”), um Hub de Eventos e uma Storage Account
O custo do Purview é computado pelas unidades e tambem pelos scans que são efetuados, sendo que alguns ainda estão em preview e com custo zero até 02/Agosto quando escrevo este artigo Pricing - Azure Purview | Microsoft Azure
Acessando o Purview Studio
Toda a administração é feita pelo Studio, onde criamos os conectores e realizamos os scans.
Importante: O acesso aos dados é utilizado a managed account com o nome do recurso que você criou e seguindo os passos para cada tipo de recurso que irá mapear.
Registrando as Fontes de Dados
O Purview já traz uma série de conectores:
![clip_image001[5]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[5]_thumb.png "clip_image001[5]")
O passo a passo abaixo é a conexão com a fonte de dados SQL Database. Primeiro definimos a fonte de dados e a coleção, que nada mais é do que antes da conexão criar agrupamentos como podem ser visto na tela anterior.
![clip_image001[7]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[7]_thumb.png "clip_image001[7]")
Na sequencia definimos como será acessado os dados, pois na configuração acima vemos o servidor e banco de dados mas ainda não fizemos o acesso. Para isso será definido o tipo de identidade, sendo que no exemplo utilizei a managed account dando as permissões de read no SQL Server Management Studio (link no see more):
![clip_image001[11]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[11]_thumb.png "clip_image001[11]")
Essa configuração de acesso são os SCANS, onde vão as definições do que será acessado, no exemplo por ser uma conexão SQL Server o database. Na sequencia verá que selecionei as tabelas e quais classificações quero mapear (note que são as mesmas do Office 365):
![clip_image001[13]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[13]_thumb.png "clip_image001[13]")
![clip_image001[15]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[15]_thumb.png "clip_image001[15]")
Uma vez configurados os scans você poderá definir se ele será executado uma unica vez ou de forma recorrente, sendo que isso pode ser feito abrindo os objetos abaixo da coleção, onde podem ser visto a lista, acessados os diferentes processos e os detalhes:
![clip_image001[19]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[19]_thumb.png "clip_image001[19]")
![clip_image001[22]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[22]_thumb.png "clip_image001[22]")
![clip_image001[17]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[17]_thumb.png "clip_image001[17]")
Classificando e detalhando os dados mapeados
Uma vez os scans executados, automaticamente o Purview irá criar os assets como pode ser visto na função Browse Assets como a sequencia abaixo:
![clip_image001[24]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[24]_thumb.png "clip_image001[24]")
![clip_image001[26]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[26]_thumb.png "clip_image001[26]")
Uma vez aberta uma base de dados mapeada podemos definir detalhes, por exemplo criar uma classificação de dados para a base inteira, definindo quem são os donos/arquitetos dos dados e até definir para cada coluna um tipo especifico:
![clip_image001[28]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[28]_thumb.png "clip_image001[28]")
![clip_image001[30]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[30]_thumb.png "clip_image001[30]")
![clip_image001[32]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[32]_thumb.png "clip_image001[32]")
![clip_image001[34]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[34]_thumb.png "clip_image001[34]")
![clip_image001[36]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[36]_thumb.png "clip_image001[36]")
![clip_image001[38]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[38]_thumb.png "clip_image001[38]")
Nessa sequencia de telas podemos ver que os contatos são importantes para identificar quem conhece e mapeou aquela base de dados. Tambem vemos como definir descrição e classificação de dados individualmente, alem das que o Purview automaticamente já detectou.
Ainda nos assets posso vizualizar uso de dados, por exemplo quais bases de dados estão sendo usadas no Power BI de usuários PRO? O Purview permitirá que vc tenha essa visualização como abaixo:
![clip_image001[40]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[40]_thumb.png "clip_image001[40]")
![clip_image001[42]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[42]_thumb.png "clip_image001[42]")
Customizando dados sensíveis e criando o glossário
Nos exemplos acima e na interface do Purview podem ser vistos dois itens, um já conhecido que é a classificação automática de sensibilidade e outra que é o glossário.
A classificação já tem pré-carregados os dados do Office 365 que são padrão dos compliances que a Microsoft já fornece, mas você poderá customizar novos assim como é feito no Compliance do Office 365:
![clip_image001[44]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[44]_thumb.png "clip_image001[44]")
Alem disso poderá criar termos de glossário que nada mais são do que um dicionário de dados para consulta. É importantíssimo que isso seja feito, pois será uma base de dados para que administradores e outros especialistas consigam saber por exemplo, de bases de dados especificas.
Uma vez criado os verbetes do glossário, em cada fonte de dados, tabela e coluna será possivel identificar essa classificação como já mostrado na tela de dados da tabela.
![clip_image001[46]](http://www.marcelosincic.com.br/image.axd?picture=clip_image001[46]_thumb.png "clip_image001[46]")
Interessante que para os itens é possível incluir atributos, ou seja indicar que se classificar uma tabela ou coluna como confidencial indicar um atributo obrigatório para escrever o motivo:
CONCLUSÃO
Uma vez mapeados com o Purview é possivel ter visibilidade de uso dos dados sensiveis, classificação dos dados em geral e montar um dicionario de dados moderno.