Azure Sentinel–MITRE Coverage

Outra feature que estava em private preview para MVPs e parceiros e agora se tornou público é o recurso de mapeamento dos alertas e huntng queries do Sentinel com a matriz de cobertura do MITRE.

Esse recurso não gera um custo já que ele é um dashboard que demonstra a matriz ao inves da lista de itens.

Como MITRE é mapeado atualmente

Hoje os alertas e hunting queries já trazem as técnicas MITRE que estão sendo abordadas como mostra a imagem abaixo:

image

Podemos observar que as táticas e técnicas já são mapeadas tanto no cabeçalho quando em cada um dos itens de pesquisa ativa do Sentinel.

Mas esses dados estão desestruturados e é necessário clicar para fazer um filtro das vulnerabilidades com o mapa de cobertura do MITRE, muito usado hoje.

Como o MITRE será mapeado agora com o Preview

Os mesmos dados da consulta acima, agora podem ser visto diretamente no mapa de cobertura MITRE:

image

Com esse mapa ficará muito mais fácil categorizar os diferentes tipos de vulnerabilidades que preciso me proteger já que ele me traz a possibilidade nos detalhes de abrir as queries que geraram os diferentes pontos de atenção!

Alem disso, tambem é possivel com a opção Simulated mapear quantos diferentes tipos de vulnerabilidades eu tenho cobertura, mesmo que não tenha resultado na query hoje.

image

Esse efeito de simulação é muito interessante pois me permite saber se o Sentinel tem o necessário para cobrir todos os pontos que me interessam e me permitirá ter uma visão gerencial incluindo as hunting queries que eu mesmo crie.

Anuncio do Public Preview: What’s Next in Microsoft Sentinel? - Microsoft Tech Community e documentação View MITRE coverage for your organization from Microsoft Sentinel | Microsoft Docs

Azure Sentinel–Log Search & Restore Preview

Um dos programas que a Microsoft disponibiliza a MVPs e parceiros é participar de previews privados para funcionalidades de Cloud Security.

Um destes recursos liberados para Public Preview recentemente foi o Log Search and Restore onde pode-se estender o tempo de log do Analytics alem de utilizar o próprio Sentinel para ler os dados destes logs armazenados.

Limitação Atual

Na versão GA o Sentinel guarda os logs por até 2 anos, sendo que pela interface visual é possivel configurar 90 dias e via PowerShell para até 755 dias.

Alem disso, ao configurar para 2 anos o log acaba gerando um custo mais alto por estar vinculado ao preço de armazenamento do Log Analytics que é por Giga.

Novos Limites e Custo

Neste Preview o log agora poderá ser guardado por 7 anos (2520 dias) alem de ter um custo menor que será divulgado no GA, porem muito menor que o atual.

Assim como no GA atual, a alteração pode ser feita via PowerShell para os 7 anos.

Mas para ajudar, vc pode usar o aplicativo disponibilizado no GitHub onde poderá escolher as tabelas e o tempo de arquivo para operação. Ou seja você pode colocar a tabela de alertas por 5 anos e a tabela de incidentes por 2 anos.

Link para o aplicativo de configuração: Azure-Sentinel/Tools/Archive-Log-Tool/ArchiveLogsTool-PowerShell at master · Azure/Azure-Sentinel · GitHub

Usando o Recurso

Vou demonstrar com prints abaixo do meu Preview como fiz o processo de Restore, Search e o resultado final.

Executando um Restore com o nome da tabela que desejo, a data inicial e final:

image

Na sequencia executei uma consulta abordando o tempo que configurei do Restore da tabela SecurityEvents com o nome do meu servidor:

image

Por fim, o resultado é uma nova Custom Table no Log Analytics com o nome indicado acima e os mais de 3 anos de eventos restaurados!!!

image

Anuncio do Preview: What's New: Search, Basic Ingestion, Archive, and Data Restoration are Now in Public Preview - Microsoft Tech Community

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration