Práticas Recomendadas e Lições Aprendidas Com o Microsoft Cyber Defense Operations Center

Operações de segurança modernas:
Práticas recomendadas
e lições aprendidas
com o Microsoft Cyber
Defense Operations
Center
Operações de segurança modernas 2
Sumário
1. Visão geral das operações de segurança 3
A função das operações de segurança

Relacionamentos de negócios
Funções típicas das operações de segurança
2. Modernização das operações de segurança 13
Seja proativo, não reativo

Aumente a visibilidade
Redução da superfície de ataque
Confiança Zero e as operações de segurança modernas
Proteção contra ameaças internas
3. Práticas recomendadas para operações de segurança 28
4. Recomendações finais 39
Visão geral das operações

de segurança
Como profissional de segurança, você que já violou um perímetro, e, com um ataque

sabe que as ameaças ao ambiente estão de ransomware e extorsão bem-sucedido,
ambas as partes lucram.
cada vez mais complexas e avançadas.
Os invasores continuam a inovar,

Hoje, os ataques cibernéticos são iniciativas
é fundamental que as equipes de segurança
criminosas organizadas. Os criminosos
trabalhem para modernizar as operações
cibernéticos compartilham informações
continuamente para enfrentar os adversários.
entre eles sobre o que funciona e sobre
vulnerabilidades. Eles trabalham para aprimorar
Isso significa analisar a pilha de tecnologia para
suas técnicas conforme a tecnologia evolui.
garantir que você tenha proteção e visibilidade
de todos os vetores de ataque. Isso também
Os ataques cibernéticos são mais do que
significa avaliar os processos da sua equipe:
apenas uma ameaça tecnológica em evolução.
ela é capaz de proteger, detectar e reagir
Tendências como o RaaS (ransomware como
a ameaças reais com rapidez e precisão ou os
serviço) fazem parte de uma economia cada
membros da equipe estão sobrecarregados
vez mais industrializada e sofisticada, onde os
com muitos sinais e buscando falsos positivos?
invasores que talvez não tenham a habilidade
ou os recursos técnicos para desenvolver suas
Nós criamos este guia para ajudar você
próprias ferramentas agora podem gerenciar
a refinar e concentrar seus esforços para
testes de penetração prontos e ferramentas
modernizar suas operações de segurança
de administrador do sysadmin para executar
e defender a organização em um cenário
ataques. Esses criminosos de nível mais básico
de ameaças crescentes.
também podem simplesmente comprar acesso
de rede de um grupo criminoso mais sofisticado
1. Visão geral das operações de segurança 2 3 4

Lições aprendidas com

o Microsoft SOC
Os aprendizados e as práticas recomendadas ● Sobrecarga dos analistas – os conjuntos

aqui apresentadas foram obtidos de conversas de regras estáticos geravam um excesso
com clientes da Microsoft e da nossa experiência de alertas de falsos positivos, o que levou
no desenvolvimento e no aperfeiçoamento a uma fadiga de alertas.
das práticas de operações de segurança
da Microsoft. ● Fluxo de trabalho de investigação
insatisfatório – a investigação de eventos
Embora isso possa parecer surpreendente usando o SIEM tradicional na infraestrutura
para algumas pessoas, o SOC corporativo local era ineficiente e exigia consultas
de TI da Microsoft protege um ambiente manuais e trocas de ferramentas.
entre plataformas composto por um número
considerável de dispositivos com Windows Nossa equipe sabe com o que você está
e Linux e de Macs que executam software lidando porque já enfrentamos esse cenário.
Microsoft e não Microsoft. Anteriormente, esse Ao longo deste guia, compartilharemos as
SOC operava em um modelo de SOC tradicional, práticas recomendadas e as principais lições
parecido com o que vemos na maioria das que aprendemos trabalhando para modernizar
organizações, e enfrentamos os mesmos as operações de segurança na Microsoft para
desafios naturais desse modelo: nós mesmos e os nossos clientes.
● Volume de eventos – alto volume

e crescimento (na escala de 20 bilhões de
eventos por dia) excederam a capacidade do
SIEM na infraestrutura local de lidar com isso.
O SOC corporativo de TI da Microsoft protege um ambiente

entre plataformas composto por um número considerável de
dispositivos com Windows e Linux e de Macs que executam
software Microsoft e não Microsoft.

A função das operações

de segurança
As operações de segurança mantêm
e restauram as garantias de segurança
do sistema conforme os adversários
promovem ataques. Suas principais funções
são descritas na Estrutura de Segurança
Cibernética do NIST e incluem:
● Detectar
● Responder
● Recuperar

● Detectar – as operações de segurança A efetividade nessas áreas reduz o risco,

devem detectar a presença de adversários limitando o tempo e os acessos que os
no sistema, que na maioria dos casos são invasores têm na organização. Em última
incentivados a permanecerem ocultos análise, isso aumenta o custo do invasor
porque isso permite que atinjam seus e diminui o benefício, o que prejudica o retorno
objetivos sem impedimentos. Essa detecção do investimento (ROI) e a motivação para
ocorre na forma de uma reação a um alerta atacar a organização. Além disso, as equipes
de atividade suspeita ou na forma de uma de operações de segurança impulsionam
busca proativa de eventos anômalos nos logs a maturidade geral de segurança.
de atividades da empresa.
Nas operações de segurança, tudo deve
● Responder – depois de detectar uma ser voltado para limitar o tempo e o acesso
possível ação ou campanha do adversário, dos invasores aos ativos da organização
as operações de segurança devem fazer em um ataque a fim de mitigar o risco para
uma rápida investigação para identificar os negócios.
se é um ataque real (verdadeiro positivo)
ou um alarme falso (falso positivo) As operações de segurança também defendem
e, então, especificar o escopo e o objetivo uma maior maturidade da segurança em toda
da operação do adversário. a organização, pois qualquer fragilidade na
postura de segurança pode levar a incidentes
● Recuperar – a meta das operações de que a equipe terá de resolver.
segurança é preservar ou restaurar as
garantias de segurança (confidencialidade,
integridade, disponibilidade) dos serviços
comerciais durante e após um ataque.

Relacionamentos
de negócios
Criar e manter relacionamentos com o lado
comercial da organização melhora a eficácia
da equipe de segurança. Isso inclui fazer
um esforço para entender as estratégias
de negócios e envolver os líderes de forma
a ajudá-los a entender o que sua equipe
faz para prevenir e mitigar ataques.
Na Microsoft, focamos em quatro

principais pontos de integração
funcionais com a empresa:
● Contexto empresarial
● Exercícios de prática conjunta
● Atualizações dos principais incidentes
● Business intelligence

● Contexto de negócios – entender o que ● Principais atualizações de incidentes –

é mais importante para a organização ajuda fornecer atualizações aos stakeholders dos
a equipe a aplicar esse contexto a situações negócios sobre os principais incidentes
de segurança em tempo real e imprevisíveis. à medida que eles acontecem permite que
O que teria o impacto mais negativo nos os líderes de negócios compreendam seu
negócios? O tempo de inatividade de risco e tomem medidas proativas e reativas
sistemas críticos? A perda de reputação para gerenciar esse risco.
e da confiança do cliente? A divulgação
de dados confidenciais? A adulteração de ● Business Intelligence –
dados ou sistemas críticos? Aprendemos o compartilhamento de descobertas de
que é fundamental que os principais metas inesperadas com líderes de negócios
líderes e funcionários entendam esse pode desencadear insights como
contexto à medida que esquadrinham a conscientização externa de uma iniciativa
a avalanche de informações e incidentes de negócios secreta ou o valor relativo
de triagem e priorizem o tempo, a atenção de um conjunto de dados negligenciado.
e o empenho.
● Exercícios de prática conjunta – praticar

a resposta aos principais incidentes em
conjunto forma a memória muscular e os
relacionamentos que são decisivos para
a tomada de decisão rápida e eficiente
na grande pressão dos incidentes reais,
reduzindo os riscos para a organização. Essa
prática também diminui os riscos porque
expõe as lacunas e suposições no processo
que podem ser corrigidas antes de um
incidente real.

Como as operações de
segurança trabalham com as
outras equipes da organização,
principalmente da área
comercial?
Sua equipe deve estar ciente das principais Uma das melhores maneiras de criar
prioridades de negócios para que eles os relacionamentos necessários com a área
possam identificar os ativos críticos e definir comercial é por meio de exercícios de simulação
prioridades de segurança de acordo. Desse para praticar a resposta a incidentes. Todos
modo, você pode se concentrar nos ativos participam dos exercícios de simulação:
mais críticos e aplicar os sistemas de defesa, as equipes de liderança e os stakeholders
as políticas e as investigações automatizadas de resposta a incidentes. Desse modo, os
necessárias para se alinhar à equipe de stakeholders de negócios e segurança podem
negócios. criar esses relacionamentos. As duas funções
aprenderão a trabalhar melhor em conjunto
Saber quem são os principais stakeholders para que todos saibam quem é quem, como
e informá-los imediatamente permite que interagir e o que fazer para resolver a situação
toda a empresa responda, incluindo: de emergência quando ocorrer um incidente.
● Operações de segurança
● Operações
● Logística
● RP/comunicações
● Liderança de negócios

Funções típicas das

operações de segurança
O componente mais comum das operações
de segurança é a investigação e a resposta
a incidentes, e é aqui onde a maioria das
equipes de operações de segurança iniciará
o seu desenvolvimento. Entre as funções
típicas estão:
● Investigação e resposta a incidentes –

isso inclui analisar alertas das ferramentas
de segurança (como SIEM, XDR, EDR),
investigar e corrigir. Em organizações
maiores, cada aspecto da resposta a
incidentes provavelmente é tratado
internamente. No entanto, em organizações
menores ou com funções de segurança
menos desenvolvidas, às vezes essas
funções são totalmente terceirizadas para
um provedor de serviços de segurança
gerenciados (MSSP). Em outros casos, será
desenvolvido um modelo híbrido com uma
triagem e rápida correção terceirizadas para
o MSSP, enquanto a investigação avançada
ocorre internamente.

● Inteligência tática contra ameaças – de grande porte provavelmente contam

mais comum em organizações maiores, com um gerente de incidentes em tempo
a inteligência tática contra ameaças integral, enquanto as menores usam
concentra-se em aspectos técnicos, como uma função temporária, de acordo com
indicadores de comprometimento (IOCs), a necessidade. Essa função exige um
endereços IP mal-intencionados, nomes DNS conjunto de habilidades especializado
inválidos e hashes de arquivos. Em alguns que é diferente das habilidades técnicas
casos, a organização usará informações de investigativas de outros analistas.
um serviço de inteligência contra ameaças
para cobrir essa função, enquanto outras ● Gerenciamento da infraestrutura de
organizações farão suas próprias pesquisas. SIEM dedicada – as organizações que
Em grande parte, a inteligência tática contra contam com SIEMs na infraestrutura local
ameaças é uma função de apoio da função de uso intensivo podem ter uma equipe
de resposta a investigações e lida com alertas interna para manter essa infraestrutura.
e investigações em andamento. A infraestrutura de SIEMs herdados na
infraestrutura local pode se tornar muito
● Gerenciamento de incidentes/crises – grande e complexa. Nesses casos, o apoio
quando um incidente ou uma crise às equipes de analistas em suas consultas
importante coloca os negócios em risco, avançadas e buscas de invasores pode exigir
as organizações podem empregar a função mais pessoal. Conforme as organizações
especializada do gerente de incidentes ou migrarem para SIEMs baseados em nuvem,
gerente de crise. Trata-se de um profissional como o Microsoft Sentinel, essa função
competente que vai gerenciar a resposta deverá ser eliminada ou redirecionada
a crises, avaliar os efeitos regulatórios ou para outras necessidades de infraestrutura,
de conformidade dos incidentes e manter pois o gerenciamento de infraestrutura
a comunicação com os líderes de negócios não é necessário com um SIEM baseado
durante todo o incidente. As organizações em nuvem.
Em grande parte, a inteligência tática contra ameaças é uma

função de apoio da função de resposta a investigações e lida
com alertas e investigações em andamento.

Para equipes de operações

de segurança mais avançadas:
● Busca proativa – às vezes, adversários Realisticamente falando, no momento atual,

talentosos e determinados podem encontrar existe uma escassez de talentos de analistas
um meio de escapar das detecções. Uma vez de segurança. Em qualquer empresa que
lá dentro, eles se escondem entre os ruídos conta com uma equipe interna de operações
para darem a impressão de ser uma prioridade de segurança, o foco principal da equipe deve
menor. Eles escapam e podem ser ignorados ser a investigação e a resposta a incidentes.
pelos processos normais. A indústria está À medida que essa necessidade básica
reconhecendo que existe uma necessidade é atendida e a equipe amadurece e aumenta,
de caçadores proativos que busquem os as funções da equipe também podem aumentar
adversários para encontrar e eliminar os que e migrar para a busca proativa e a inteligência
conseguiram burlar as defesas primárias. estratégica contra ameaças. Mas, se a sua equipe
Falaremos mais sobre a busca proativa na é pequena, a prioridade deve ser identificar
seção sobre as práticas recomendadas. e responder aos incidentes.
● Inteligência estratégica contra ameaças –

essa função de inteligência contra ameaças
é diferente da função de inteligência tática
contra ameaças que abordamos anteriormente
e que fornece os indicadores técnicos de
comprometimento. A inteligência estratégica
contra ameaças é inovadora e fornece
orientação estratégica, inteligência e pesquisa
sobre os tipos de ameaças e ataques que
a empresa pode enfrentar, além de uma
consideração dos riscos e das consequências
para os negócios se esses ataques ocorrerem.
A equipe de inteligência estratégica contra
ameaças orienta o CISO ou os líderes de
negócios para que eles entendam o cenário
atual de ameaças, como interpretar as notícias
do ponto de vista da segurança cibernética
e incluí-lo no planejamento estratégico.

Modernização
das operações
de segurança
Para modernizar as operações de
segurança, é preciso amadurecer as
ferramentas e os processos que vão
sustentar a evolução de uma postura
reativa para uma postura proativa
e de um modelo de perímetro de rede
para um modelo de segurança que
usa a identidade como principal plano
de controle da segurança.
Seja proativo, não reativo

Aumente a visibilidade
Com ferramentas e automação sólidas,

os analistas têm visibilidade e ganham
tempo para deixar de lado as respostas
puramente reativas e se preparar para
buscar os adversários proativamente. Esse
tipo de ferramentas geralmente é chamado
de detecção e resposta estendidas (XDR)
e tem como foco oferecer detecções de
1 2. Modernização das operações de segurança 3 4

alta qualidade e outras funcionalidades 1. Muitos alertas são processados de modo

para recursos específicos, como pontos automatizado, sem exigir o tempo de um
de extremidade, identidades, contas de analista.
armazenamento em nuvem, entre outros.
2. A qualidade de alertas que chegam às
Muitas organizações continuam dependendo filas dos analistas aumenta drasticamente
de SIEMs na infraestrutura local herdados e de à medida que eles têm a visibilidade
um processo de análise centrado em logs. precisa para saber o que está realmente
Entretanto, é importante lembrar que "coleta acontecendo, e onde, e assim agir com
não é detecção", ou seja, a simples coleta de sucesso.
logs não terá utilidade se houver muitos dados
para os analistas filtrarem. Você perderá o sinal 3. À medida que a tecnologia automatiza
no meio dos ruídos e aumentará as chances cada vez mais as funções reativas das
de os analistas desperdiçarem um tempo operações de segurança, os analistas podem
precioso atrás de falsos positivos enquanto se concentrar mais no aspecto da busca
ameaças reais passam desapercebidas. Na proativa da segurança e começar a procurar
abordagem de SIEM herdado e centrada anomalias e adversários no ambiente.
em logs, as organizações devem trabalhar
para adotar um modelo que use o SIEM Esse tipo de evolução de uma postura
baseado em nuvem, como o Microsoft reativa para proativa, e das ferramentas e do
Sentinel, e ferramentas sólidas, como SIEM na infraestrutura local para a nuvem,
detecção e resposta de ponto de extremidade nem sempre é linear. Mas, historicamente,
(EDR) e outras ferramentas de detecção essa é a trajetória de maturidade que
especializadas. Quando essas ferramentas de observamos. Nós antevemos que isso
detecção estão integradas a um SIEM baseado aumentará no futuro e recomendamos como
em nuvem capaz de aplicar machine learning, modelo para as organizações interessadas
análise comportamental e a tecnologia em tomar medidas produtivas para
de resposta automatizada de orquestração modernizar suas operações de segurança.
de segurança (SOAR) aos alertas recebidos,
acontecem três coisas:

Reduzir a superfície de ataque é outra etapa Estas são as etapas de uma

proativa que você pode seguir. A maioria
dos ataques contra uma organização segue
cadeia de ataques típica:
a estrutura do que chamamos de cadeia de
ataques cibernéticos. Essa cadeia nos ajuda 1. Reconhecimento – os criminosos inventam
a entender como funciona um ataque típico maneiras de explorar uma organização ou um
e quais tecnologias podem ajudar a mitigar usuário dentro de uma organização. Essa
as ameaças em cada seção dela. Entendendo atividade pode incluir pesquisas para descobrir
a cadeia, as organizações podem inserir informações que podem ser usadas em uma
"quebras" em cada elo a fim de parar um campanha de spear phishing, atividade da
ataque ou impedi-lo de se espalhar. Dark Web em que os criminosos compram
informações sobre vulnerabilidades dentro de
uma organização ou realizam o reconhecimento
para descobrir pontos fracos na infraestrutura
de TI ou na base de usuários.
2. Exploração de uma vulnerabilidade –

os agentes de ameaças lançam um ataque.
Pode ser uma campanha de phishing comum
ou uma técnica mais sofisticada criada para
introduzir código malicioso nos sistemas de uma
organização.
3. Movimento lateral – depois de entrarem,

os criminosos usam seu acesso para percorrer
os sistemas de uma organização a fim de
localizar dados importantes, e muitas vezes
sem ser detectados. Eles podem tomar medidas
para encobrir seus rastros ou adicionar outros
pontos de entrada, caso a violação original seja
descoberta.
4. Exportação de dados – depois de

encontrarem os dados que estão procurando,
sejam pessoais, financeiros, de propriedade
intelectual ou outras informações confidenciais,
os criminosos podem roubá-los ou criptografá-
los em um ataque de ransomware.

A falta de orquestração entre as ferramentas resolver seções específicas da cadeia de

pode aumentar a pressão sobre os analistas ataques e deixa as organizações vulneráveis,
de segurança, que terão de decifrar as pois com frequência as ferramentas
ameaças manualmente, o que atrasa as estão isoladas e devem ser gerenciadas
respostas quando o tempo é essencial. separadamente. Isso deixa lacunas críticas
na visibilidade e na cobertura que podem
Uma estratégia tradicional de defesa ser exploradas por invasores.
de perímetro não é mais suficiente para
mitigar os ataques contra uma organização. Uma abordagem holística de mitigação
As técnicas de ataque modernas, como de riscos para o atual cenário de ameaças
phishing e spray de senha, são projetadas em evolução requer uma plataforma
para derrotar as defesas perimetrais. Além que possa proporcionar a CISOs e suas
disso, uma quantidade crescente de dados equipes integração e visibilidade de toda
existe na nuvem e em dispositivos móveis a organização. Essa abordagem integrada
fora da rede corporativa. Em resposta, fecha as lacunas para reduzir a superfície
os líderes de segurança devem abandonar as de ataque. Essa abordagem é habilitada
proteções baseadas em perímetro, projetadas integrando um sistema SIEM nativo da nuvem,
simplesmente para afastar os invasores, e partir que fornece amplitude entre plataformas com
para uma abordagem proteger/detectar/ soluções de detecção e resposta estendidas
responder idealizada para a realidade de hoje (XDR). Essas soluções, por sua parte, fornecem
de "suposição de violação". proteção contra ameaças detalhada entre
domínios para ajudar os defensores a conectar
Todavia, essa abordagem de várias camadas alertas aparentemente díspares e ficar à frente
costuma ser implementada por meio dos invasores.
de soluções pontuais fragmentadas para
Técnicas de ataque modernas, como phishing e pulverização de

senha, burlam o perímetro, sendo cada vez maior o número de
recursos presentes na nuvem e em dispositivos móveis fora da
rede corporativa.

Abordagem da Microsoft
No Microsoft SOC, temos essa visibilidade ampla e detalhada com os recursos integrados de SIEM
e XDR do Microsoft Sentinel, do Microsoft 365 Defender e do Microsoft Defender para Nuvem.
Microsoft Sentinel
SIEM nativo de nuvem, fornecendo análises de segurança inteligentes em toda a empresa
Ingerir dados Detectar Investigar Buscar Aplicativos

de todo o seu com correlação em todas as com todos os fluxos de trabalho
ambiente entre sinais suas soluções seus dados com todas as suas
de segurança ferramentas
Incidentes compartilhados
com sincronização
bi-direcional
XDR Sinais adicionais

Microsoft 365 Defender Microsoft Defender para Nuvem
Proteja seus usuários finais Proteja seus workloads em
com proteção para: nuvem híbrida e multinuvem com
proteção para:
• P
ontos de • Aplicativos
extremidade • Dados • Servidores • Contêineres
• Email • IoT • B
ancos de • Aplicativos
• Identidades dados de nuvem
• Armazenamento

● O Microsoft Sentinel, nosso SIEM nativo Operações de segurança

de nuvem e líder da indústria, faz coletas
de qualquer fonte, de quaisquer dados
e de qualquer entidade. O Sentinel
Arquitetura de referência da Microsoft
oferece análise de segurança inteligente
Nossa visão técnica para as operações
e inteligência contra ameaças na empresa
de segurança coloca as pessoas (analistas
inteira por meio de detecção de alertas,
e caçadores) no centro. Nossas tecnologias
visibilidade de ameaças, busca proativa
de segurança integradas de SIEM e XDR são
e uma resposta orquestrada a ameaças com
aplicadas para ajudar os analistas e caçadores
a tecnologia SOAR integrada.
a serem bem-sucedidos, fornecendo a eles
insights detalhados para gerar alertas de alta
● O Microsoft 365 Defender fornece
qualidade que incorporam a profundidade de
detecção e resposta estendidas (XDR)
sinal via XDR e a amplitude de sinal por meio
em identidades, pontos de extremidade,
do nosso SIEM nativo de nuvem, o Microsoft
aplicativos e emails.
Sentinel. Nossa proteção XDR se estende dos
produtos e serviços da Microsoft a tudo o
● O Microsoft Defender fornece mais no ambiente, e a detecção e a resposta
proteção multinuvem abrangente para coordenadas podem encontrar e remover
IoT, infraestrutura, recursos de nuvem até mesmo cadeias de ataques sofisticadas
e workloads. para impedir que os adversários percorram
o ambiente caso consigam entrar.
Saiba mais sobre a proteção integrada

da Microsoft contra ameaças com SIEM
e XDR.
Nossas tecnologias de segurança integradas SIEM e XDR

são aplicadas para ajudar os analistas e caçadores a serem
bem-sucedidos, fornecendo insights detalhados para gerar
alertas de alta qualidade.

Confiança Zero e as
operações de segurança
modernas
Hoje, a maioria das organizações têm
boas defesas para se proteger de ataques
baseados em rede. Reconhecendo isso,
os invasores mudaram a tática usada nos
ataques baseados em identidade e aplicativos
em que as defesas são mais fracas. Além
disso, dispositivos e aplicativos agora estão
saindo da rede, eliminando o perímetro
como ponto de controle.
Modernizar significa aprimorar as táticas

de defesa para que elas se adequem às táticas
dos adversários. Por isso recomendamos
enfaticamente a adoção de um modelo
de segurança de Confiança Zero, que coloca
a identidade em primeiro lugar. Não estamos
dizendo que agora você deve ignorar as
redes, mas é necessário priorizar as técnicas
de ataque baseadas em identidade
e desenvolver habilidades e funcionalidades
de segurança de identidade.
Em vez de criar defesas fortes na rede

e achar que tudo o que fica atrás do
firewall corporativo está seguro, o modelo
de Confiança Zero pressupõe a violação
e verifica cada solicitação como se fosse
proveniente de uma rede sem controle. No
modelo de Confiança Zero, não existe rede
confiável — toda rede é hostil.

1. Verificar explicitamente – sempre Uma abordagem de Confiança Zero deve

autentique e autorize com base em todos cobrir toda a propriedade digital e servir como
os pontos de dados disponíveis, incluindo filosofia de segurança integrada e estratégia
identidade do usuário, local, integridade do completa. Isso é feito com a implementação
dispositivo, serviço ou workload, classificação de controles e tecnologias de Confiança Zero
de dados e anomalias. em todos os seis elementos fundamentais:
identidades, pontos de extremidade,
2. Usar acesso com privilégios mínimos aplicativos, dados, infraestrutura e redes.
– limite o acesso do usuário com acesso Cada um desses seis elementos fundamentais
Just-In-Time e Just-Enough Access (JIT/ é uma fonte de sinal, um plano de controle
JEA), políticas adaptáveis baseadas em risco a ser executado e um recurso crítico a ser
e proteção de dados para proteger os dados defendido. Isso torna cada um deles uma área
e a produtividade. importante para concentrar os investimentos,
a começar pela identidade.
3. Presumir violações – Minimize o raio
de destruição das violações e impeça
o movimento lateral segmentando o
acesso por rede, usuário, dispositivos e
reconhecimento de aplicativos. Verifique se
todas as sessões são criptografadas de ponta
a ponta. Use a análise para obter visibilidade,
impulsionar a detecção de ameaças e
melhorar as defesas.
Cada um desses seis elementos fundamentais é uma

fonte de sinal, um plano de controle a ser executado
e um recurso crítico a ser defendido.

Identidades Pontos de
Humanos Não
extremidade
Corporativos
humanos
Pessoais
Autenticação forte Conformidade do

dispositivo
Aprimoramento das Avaliação de

solicitações risco
Otimização Proteção contra

de políticas Política de ameaças
Governança confiança zero Avaliação contínua In-
Conformidade teligência contra ameaças
Avaliação da postura de Aplicação de Análises forenses
segurança avaliação Automação de resposta
Otimização da produtividade
Filtragem e segmentação de tráfego
Rede
Pública Privada
Classificar, rotular, criptografar Acesso adaptável Controle de tempo de execução
Aplica-
Dados tivos Infraestrutura
IaaS -PaaS - Contêineres de
Emails e documentos Aplicativos SaaS
sites internos - Sem servidor
Dados estruturados Aplicativos na
infraestrutura local JIT e controle de versão
Telemetria/análise/avaliação

A função da orquestração
na Confiança Zero
Orquestração é o processo de integração
de aplicativos e automação de um fluxo de
trabalho. Como já mencionado, a Confiança
Zero é mais eficaz quando totalmente
integrada a uma estratégia de ponta a ponta.
Mas alcançar essa integração de uma forma
que apoie a conformidade e a eficiência
operacional requer uma orquestração
cuidadosa.
Isso significa impor políticas claras de

Confiança Zero e avaliar continuamente
a eficácia dessas políticas para que
os ajustes possam ser feitos conforme
necessário. A avaliação contínua é vital para
otimizar a governança, a conformidade
e a produtividade, mantendo uma postura de
segurança forte. A incorporação de um feed
de inteligência contra ameaças torna mais fácil
ajustar as políticas de acordo com as ameaças
mais recentes, e a automação de resposta
permite responder a ataques em tempo real
e impulsionar a eficiência.
Para ajudar você a planejar e implementar

uma mudança para a Confiança Zero, este
é o nosso roteiro que recomendamos na
busca por uma estratégia de modernização
da Confiança Zero.

Alinhe a estratégia de
Finalize a estratégia
segmentação e as equipes
● Unifique identidade, dispositivos, ● Modernize aplicativos e ajuste garantias

aplicativos, dados, infraestrutura e redes fortes para ativos na infraestrutura local
em uma só estratégia de segmentação herdados via proxy de aplicativos.
empresarial. Todos devem estar em sintonia,
buscando a mesma estratégia, com as ● Aumente os níveis de proteção de dados
mesmas prioridades e falando a mesma confidenciais (CASB, controle de acesso
língua. de CA, AIP).
● Desative protocolos de autenticação

herdados.
Crie um perímetro moderno
com base em identidade
Refine a segmentação
● Estabeleça seu caminho crítico usando e o perímetro de rede
garantias de usuário e dispositivo.
● Segmente ativos com impacto crítico nos
Usuário – Exija autenticação sem senha ou negócios, no operacional/físico, na vida/
MFA para o acesso a aplicativos modernos. segurança.
Dispositivo – Exija integridade ● Adicione microssegmentação para reduzir

do dispositivo para acesso. ainda mais o risco.
● Desative e isole plataformas de

Recomendamos implantar o caminho crítico computação herdadas, como aquelas com
para os administradores de TI primeiro. aplicativos e sistemas operacionais sem
suporte.
Os administradores de TI podem fornecer
comentários técnicos para ajudar você a fazer
melhorias antes de uma ampla implantação.
Como eles mesmos são alvos dos invasores,
uma violação dessas contas pode causar
grande impacto. Proteja os administradores
de TI primeiro e, depois, os usuários comuns.

Introdução à
Confiança Zero
Confiança Zero é um modelo de segurança, A primeira etapa da implementação do

não uma tecnologia específica, e para modelo de segurança de Confiança Zero
concretizá-la você deve empreender uma é conectar todos os aplicativos a uma
jornada. Nos ambientes de trabalho móveis, única solução de identidade na nuvem,
remotos e híbridos de hoje, você não pode como o Microsoft Azure Active Directory.
mais depender de um perímetro de rede para Isso permite criar a segurança baseada em
a segurança: o perímetro de rede desapareceu. identidade e aplicar políticas personalizadas
As operações de segurança devem se alinhar em todo o ambiente para controlar o acesso
em torno da proteção baseada na identidade a cada aplicativo. Com essa etapa concluída,
para estabelecer a base de um modelo de você pode implementar a autenticação
Confiança Zero. Os usuários podem ter multifatorial (MFA) para todos os aplicativos.
vários dispositivos e podem acessar recursos A MFA é uma política de segurança
corporativos de várias redes e aplicativos. consistente e forte, capaz de bloquear até
Quase todos esses recursos exigem 99,9% dos ataques de comprometimento
autenticação, tornando a identidade um de conta.
denominador comum de todas as solicitações
de acesso, seja de um dispositivo pessoal em Para avaliar a postura de segurança
uma rede Wi-Fi pública ou de um dispositivo de Confiança Zero de sua organização,
corporativo no perímetro da rede. O uso da faça a avaliação de maturidade da
identidade como plano de controle permite Confiança Zero.
tratar todas as solicitações de acesso como não
confiáveis até que o usuário, o dispositivo e os A solução de identidade recomendada
outros fatores sejam verificados por completo. pela Microsoft para Confiança Zero
é o Azure Active Directory, parte do
Microsoft Entra. Para saber como você
pode iniciar sua jornada de Confiança Zero
com o Gerenciamento de Identidades
e Acesso, leia Proteção da identidade com
a Confiança Zero.

Proteção contra ameaças

internas
Com um modelo de segurança de Confiança
Zero e um pacote de segurança integrado
em vigor, as operações de segurança podem
proteger melhor a organização contra
ameaças externas. No entanto, você também
deve proteger contra ameaças internas
usando ferramentas e processos que protejam
informações, usuários e dispositivos.
Agora, os dados se estendem muito além

da infraestrutura local em ambientes
multinuvem e de nuvem híbrida, estendendo
suas responsabilidades por todo o ciclo de
vida dos dados – da criação dos dados até sua
desativação ou exclusão.
Saber quais dados você tem, quem os está

acessando e o que as pessoas estão fazendo
com eles é essencial para a segurança da
organização. No entanto, da mesma forma que
na otimização da segurança de identidade,
uma peça-chave desses esforços é a redução
do risco sem comprometer a produtividade do
usuário nesse cenário expandido de TI.

As organizações têm uma variedade de Recomendamos que você concentre

tecnologias e ferramentas à disposição para os esforços de proteção completa contra
gerenciar e proteger os dados em diferentes ameaças internas em três etapas principais:
estágios do ciclo de vida. Embora essas
ferramentas forneçam flexibilidade, elas ● Identificar os dados
também adicionam complexidade significativa.
Um estudo recente do IDG descobriu que ● Classificar os dados
as organizações usam uma média de quase
cinco sistemas de gerenciamento de dados ● Implementar ferramentas
diferentes para atividades como classificação, e políticas para proteger os dados
descoberta eletrônica e gerenciamento de
registros. As soluções de segurança integradas O objetivo deve ser ajudar a garantir que todas
também podem proteger contra ameaças as informações sejam protegidas, da forma
internas fechando lacunas críticas que levam como são usadas e onde são usadas.
ao vazamento de dados e dando visibilidade
completa ao longo do ciclo de vida dos dados.
Saber quais dados você tem, quem os está acessando

e o que as pessoas estão fazendo com eles é essencial
para a segurança da organização.

Diferenciar risco intencional

de risco não intencional
Ameaças internas são algo inevitável para Mas existem outras classes de ameaças em que
todas as empresas e, às vezes, os dados são o usuário talvez nem saiba que está violando
colocados em risco mesmo no curso normal a política corporativa. O usuário pode estar
do trabalho legítimo. Pense no número de entusiasmado com um projeto e compartilhar
pessoas que acessam recursos, o ciclo natural informações sobre ele fora de seu grupo, por
de pessoas que entram e saem de uma exemplo, e no processo, ele acaba vazando
empresa. Com os processos, funcionalidades dados sem perceber que está enviando
e controles certos em vigor, você pode manter informações confidenciais. As ferramentas que
a supervisão de dados e a confiança dos param esse vazamento de dados involuntário
usuários sem prejudicar a produtividade. antes que ele possa acontecer e/ou investigar
e observá-lo em tempo real, no contexto,
Uma funcionalidade importante é diferenciar permitem que você determine a intenção
um risco intencional de um risco não e o impacto e decidir se foi um ato único
intencional por parte de seus usuários. Um de descuido ou parte de um padrão maior
usuário verdadeiramente mal-intencionado e potencialmente malicioso.
pode tentar fazer coisas que vão contra
as políticas corporativas, como desativar À medida que você revela o risco, precisa
controles de segurança, por exemplo, ou garantir que o foco permaneça na atividade
instalar software malicioso. genuinamente suspeita para não causar
problemas com os usuários nem sobrecarregar
Muitas vezes, o intuito é vazar ou roubar dados os analistas com alertas que são falsos
em benefício próprio ou por má intenção. positivos.
As operações de segurança devem estar Saiba mais sobre o Gerenciamento de Risco

preparadas para esses eventos e precisam ter Interno no Microsoft Purview.
maneiras de prevenir, detectar e conter esses
tipos de ameaças.

Práticas recomendadas
para operações de
segurança
Como dissemos anteriormente, Seus objetivos devem ser capacitar os

no centro das operações de segurança funcionários para avançar no loop OODA
estão pessoas, especificamente o mais rápido possível, com as melhores
informações possíveis, para que eles possam
os analistas de segurança.
tomar as melhores decisões e as medidas mais
eficazes possíveis.
À medida que seus analistas fazem o trabalho
deles, vão progredir formal ou informalmente
Para tomar decisões melhores com mais
no que é conhecido como um loop OODA:
rapidez, concentre-se em maximizar
a visibilidade, reduzir etapas manuais
● Observar e maximizar o impacto humano.
● Orientar
● Decidir
● Agir
1 2 3. Práticas recomendadas para operações de segurança 4

Maximize a visibilidade Acreditamos firmemente no poder da

automação e da tecnologia para diminuir
● Interno– minimize os pontos cegos
o trabalho humano. Mas, em última análise,
internos garantindo uma boa cobertura
os invasores com os quais você está lidando
(o mais próximo possível de 100%), além
são pessoas, por isso o bom senso humano
da cobertura dos tipos de ativos (incluindo
é crucial no processo de defesa contra
identidades, pontos de extremidade, email,
ameaças.
aplicativos de nuvem, datacenters na
infraestrutura local, datacenters na nuvem
A automação não se resume a usar
e dados em aplicativos de SaaS e PaaS
a eficiência para tirar as pessoas do processo
na nuvem).
— ela requer a capacitação dessas pessoas.
Pense em como você pode automatizar
● Externo – garanta uma diversidade de
tarefas repetitivas do trabalho dos analistas
feeds de ameaças de fontes externas que
para que eles se concentrem nos problemas
tragam insights e contexto do ambiente
complexos que somente as pessoas são
externo de malware, ataques por email,
capazes de resolver.
sites de ataques, senhas/identidades
comprometidas etc. Maximize a renovação
A automação capacita os seres humanos
e a fidelidade (detalhes relevantes) das
a fazer mais aumentando a velocidade
fontes de ameaças externas utilizadas.
de resposta e capturando as competências
humanas. Isso reduz a carga e o tédio
de tarefas repetitivas, permitindo
Reduza as etapas manuais (e os erros)
que os analistas concentrem o tempo
Automatize e integre o maior número e a criatividade em novos desafios
possível de processos manuais para eliminar e ameaças.
ações humanas desnecessárias que levem
a atrasos e possíveis erros humanos.
Para separar rapidamente o sinal (detecções

reais) do ruído (falsos positivos), é preciso
investir em seres humanos e na automação.

Maximize o impacto humano
Para os lugares no processo onde faz sentido Além disso, você deve garantir que
haver interação humana (escolhas difíceis, o aprendizado seja integrado ao longo
novas decisões etc.), você deve garantir do processo, incluindo a consideração
que os analistas tenham acesso a profundo de quando observar um ataque para saber
conhecimento e inteligência para facilitar essas o objetivo dele (valor de longo prazo)
decisões. ou bloqueá-lo (valor de curto prazo).
Tomando decisões melhores com mais rapidez
Interna – Abrangência e diversidade da cobertura

Maximize
por sensor
a visibilidade
Externa – Diversidade e fidelidade do feed de ameaças
Reduza as etapas Automatizar – Tarefas de detecção e resposta

manuais (e os erros) Integrar – Ferramentas de investigação
Maximize o impacto Dar aos analistas acesso a conhecimento profundo

humano e inteligência de aprendizado contínuo – observar
ataques e integrar aprendizados em defesas
Detectar Responder Recuperar
Observar Orientar Decidir Agir

Cultura de operações de segurança
A cultura orienta inúmeras decisões por dia, ● Trabalho em equipe – recomendamos não
estabelecendo como seria a resposta certa tolerar a mentalidade do "herói solitário" na
em situações ambíguas, que são muitas nas equipe. Ninguém sozinho é tão inteligente
operações de segurança. quanto toda a equipe. O trabalho em
equipe torna um ambiente onde existe
Concentrar elementos culturais em pessoas, uma grande pressão muito mais divertido,
trabalho em equipe e aprendizado contínuo agradável e produtivo quando todos
ajuda a garantir que a equipe se desenvolva sabem que estão no mesmo time e têm
constantemente para acompanhar o ritmo uns aos outros. No Centro de Operações de
das ameaças contra as quais ela protege: Segurança da Microsoft, projetamos nossos
processos e ferramentas para dividir tarefas
● Use o talento humano com sabedoria – em especialidades e incentivar as pessoas a
nosso pessoal é o ativo mais valioso, compartilhar insights, coordenar e verificar
e não podemos nos dar ao luxo de o trabalho uns dos outros e aprender
desperdiçar o tempo deles em tarefas constantemente uns com os outros.
repetitivas que podem ser automatizadas.
Para combater as ameaças humanas que ● Mude a mentalidade – avançar e ficar
enfrentamos, precisamos de pessoas à frente dos criminosos cibernéticos
experientes e bem preparadas que e hackers, que sempre aperfeiçoam suas
possam aplicar conhecimentos, bom técnicas, exige melhorar continuamente
senso e pensamento criativo. Esse fator e mudar o rumo das suas atividades
humano afeta quase todos os aspectos das "deixadas" na linha do tempo de ataques.
operações de segurança, inclusive o papel Priorizar a velocidade e a eficiência ajuda
das ferramentas e da automação para a equipe a "ser mais rápida do que o ataque"
capacitar as pessoas a fazer mais (em vez porque ela vai considerar maneiras pelas
de substituí-las) e diminuir o trabalho dos quais poderia ter detectado os ataques com
nossos analistas. antecedência e reagido com mais agilidade.
Esse princípio é a aplicação de uma
mentalidade de crescimento e aprendizado
contínuos que mantém a equipe totalmente
focada em diminuir os riscos para
a organização e os clientes.

Segregue contas com

privilégios elevados
Nem todos os ataques são iguais do ponto de invasores etc.). Consideramos os desvios
vista dos danos que eles poderiam causar aos uma oportunidade de aprendizado para
negócios se fossem bem-sucedidos. As contas melhorar processos ou ferramentas, e não
de alto perfil (por exemplo, contas de uma dificuldade por parte do SOC de atingir
membros do Conselho, do CEO e do CFO) e de uma meta.
administrador são as que correm mais risco se
comprometidas. Por isso você deve dar uma
atenção especial à proteção proativa dessas
contas, segregando-as primeiro em ambientes
de computação dedicados usando estações
de trabalho com acesso privilegiado (PAWs),
que protegem essas contas importantes
contra ataques da Internet e outros vetores
de ameaças.
Métricas – medindo o sucesso
As métricas convertem a cultura em objetivos

claros e mensuráveis e exercem uma forte
influência na formação do comportamento
das pessoas. É fundamental considerar o que
você mede e como você prioriza e aplica
essas métricas. Na Microsoft, medimos
vários indicadores de sucesso no Centro
de Operações de Segurança (SOC), mas
sempre reconhecemos que o trabalho do
SOC é gerenciar variáveis significativas que
estão fora do nosso controle direto (ataques,

Estas são as métricas que rastreamos, ● Incidentes corrigidos (manualmente

analisamos tendências e das quais geramos versus com automação) – medimos
relatórios: quantos incidentes são corrigidos
manualmente e quantos são resolvidos
● Tempo médio até o reconhecimento com automação. Isso assegura que os
(MTTA) – a capacidade de resposta nossos níveis de pessoal sejam apropriados
é um dos poucos elementos sobre o qual e mede a eficácia da nossa tecnologia
o SOC tem controle direto. Medimos de automação.
o tempo entre um alerta que está
sendo gerado e o momento em que um ● Escalonamentos entre cada camada –
analista reconhece esse alerta e começa rastreamos quantos incidentes são
a investigação. Para melhorar essa escalonados entre as camadas de analistas
capacidade de resposta, os analistas não para garantir que capturemos o workload
podem perder tempo investigando falsos de cada camada com precisão. Por exemplo,
positivos enquanto outro alerta verdadeiro precisamos garantir que o trabalho da
positivo fica aguardando. Fazemos isso camada 1 em um incidente escalonado não
graças a uma priorização implacável. seja totalmente atribuído à camada 2.
Todo alerta que exigir resposta do analista
deverá ter um registro histórico de 90% de
verdadeiros positivos.
● Tempo médio até a correção (MTTR) –

assim como muitos SOCs, rastreamos o
tempo até a correção de um incidente
para ter certeza de que estamos limitando
o tempo durante o qual os invasores têm
acesso ao nosso ambiente, conferindo
eficácia e eficiência aos processos
e ferramentas do SOC.

Mantenha a higiene crítica
Métodos, defesas e efeitos podem variar À medida que os invasores descobrem novas
mas, simplificando, os invasores exploram formas de criar um modelo de negócios ou
as vulnerabilidades. O que, por sua vez, torna inventam uma nova técnica de ataque, muitas
o seu trabalho como profissional de segurança vezes eles só estão explorando as mesmas
simples: elimine vulnerabilidades. vulnerabilidades antigas, mas de novas
maneiras. Em alguns casos, pode ser que eles
Toda equipe tem um trabalho a fazer para explorem vulnerabilidades que você ainda não
atualizar seu ambiente. Chamamos isso de conhecia. Por isso, ainda que as técnicas dos
carregar uma "dívida técnica". Você precisa invasores sejam aprimoradas, a necessidade
fazer backups ou atualizar as permissões de de uma boa e velha higiene técnica é a mesma.
arquivo. Ou precisa aplicar patches ou desativar Manter o ambiente atualizado da forma que
protocolos antigos. Todas essas práticas você conhece há muito tempo e aprender
recomendadas são bem conhecidas. o que mais precisa ser feito com base no
comportamento do invasor é fundamental para
proteger a organização contra ataques, até
mesmo contra os mais novos tipos de ataques.
À medida que os invasores descobrem novas formas de criar

um modelo de negócios ou inventam uma nova técnica de
ataque, muitas vezes eles só estão explorando as mesmas
vulnerabilidades antigas, mas de novas maneiras.

Higiene crítica = dívida técnica a ser paga
A nuvem pode acelerar isso, mas é preciso um pouco de trabalho árduo
Aumentar Aumentar
"Novo" elemento Aumentar a prioridade a prioridade
a prioridade
• Roubo de • Aplicar patches • Segurança de
credenciais • Backups • Desativar aplicativos Web
• Permissões de protocolos antigos • Monitoramento
arquivo da performance
Auditores Roubo Ransomware Destruição Mineradores

(e phishing, de dados (ataques de
spam, botnet) direcionado cibernéticos criptomoedas
rápidos)
Os novos modelos de monetização simplesmente reorganizam

as prioridades da mesma dívida antiga de higiene:
1. Verifique periodicamente as 3. Releia a lista de práticas

necessidades de higiene crítica. recomendadas e prioridades
periodicamente para se certificar de
2. Priorize de acordo com o que que ela se aplica às condições atuais.
está acontecendo agora.
4. Continue trabalhando para liquidar
sua "dívida técnica".

Busca proativa
A busca de ameaças é uma forma poderosa Na Microsoft, o SOC aborda a busca de

de reduzir o risco organizacional. No entanto, ameaças colocando os analistas para realizar
geralmente ela é mostrada como uma forma diferentes tipos de tarefas:
de arte complexa e misteriosa exclusiva
dos profundos conhecedores, o que pode 1. Pesquisa proativa de adversários
ser contraproducente. O termo "busca de e busca de ameaças. É isso o que a maioria
ameaças" simplesmente refere-se ao processo dos nossos caçadores de ameaças fazem na
no qual analistas experientes procuram maior parte do tempo. A equipe procura
no ambiente, de maneira proativa e iterativa, em várias fontes, como alertas, indicadores
operações de invasores que escaparam de externos de comprometimento, entre outras.
outras detecções. A equipe trabalha principalmente para
elaborar e refinar hipóteses estruturadas do
A busca é um complemento de processos que os invasores podem fazer com base em
reativos, alertas e detecções e permite que inteligência contra ameaças (TI), observações
você esteja um passo à frente dos invasores. incomuns no ambiente e a própria experiência
O que diferencia a busca das atividades dela. Na prática, esse tipo de busca de
reativas é sua natureza proativa, pela ameaças inclui:
qual os buscadores gastam mais tempo
concentrados analisando os problemas, ● Pesquisa proativa dos dados (consultas
identificando tendências e padrões e obtendo ou revisão manual).
uma perspectiva maior da situação. No
entanto, um programa de busca bem- ● Desenvolvimento proativo de hipóteses
sucedido não é puramente proativo, uma com base em TI e outras fontes. (Consulte
vez que exige equilibrar a atenção entre os Operacionalizar a base de dados de
esforços reativos e proativos. conhecimento da MITRE ATT&CK).
Os caçadores de ameaças ainda precisarão

manter uma conexão com o lado reativo para
manter suas habilidades afiadas e continuar
atentos às tendências na fila de alertas.

2. Red team e purple teaming. Alguns dos Operacionalizar a Base de

nossos caçadores de ameaças, que trabalham
como blue teams protegendo o ambiente, dados de conhecimento
coordenam com red teams que simulam ataques da MITRE ATT&CK
e com outras que realizam testes de penetração
autorizados no ambiente. Essa é uma tarefa
A base de dados de conhecimento da MITRE
de revezamento para os nossos caçadores
ATT&CK é uma valiosa coletânea de informações,
de ameaças e normalmente envolve o purple
mas a quantidade de dados pode ser intimidante.
teaming, no qual tanto a red team quanto a blue
A boa notícia é que produtos de tecnologia
team fazem seu trabalho e aprendem umas com
podem ajudar você a diminuir o trabalho de
as outras. Cada atividade é acompanhada por
derivar valor da MITRE ATT&CK. Hoje, muitas
revisões totalmente transparentes que capturam
ferramentas, inclusive soluções de segurança da
as lições aprendidas, as quais são compartilhadas
Microsoft, já fizeram muitos mapeamentos da
em todo o SOC com as equipes de engenharia
base de dados de conhecimento. Na verdade, o
de produto e outras equipes de segurança da
projeto de pesquisa Mapeamentos de Pilha de
empresa.
Segurança para o Azure introduziu recentemente
uma biblioteca de mapeamentos que vinculam
3. Incidentes e escalonamentos. Os controles de segurança internos do Azure às
caçadores proativos não ficam restritos ao técnicas de Mitre ATT & CK que atenuam ameaças
seu posto de observação. Eles trabalham potenciais. Tenha em mente, no entanto, que os
junto com os analistas reativos e costumam mapeamentos geralmente não são abrangentes.
conversar, compartilhar o que têm feito, dividir A organização deve avaliar quais são as áreas de
descobertas ou observações interessantes e se cobertura das ferramentas por padrão e onde
informar das operações atuais. Essa tarefa não ainda existem lacunas.
necessariamente é atribuída aos caçadores de
ameaças em tempo integral; eles podem manter
Nas áreas com lacunas, você pode personalizar
a flexibilidade e ajudar quando for necessário.
o mapeamento de ferramentas e tecnologia
existentes para as áreas da Base de dados de
Essas funções não são isoladas: os membros conhecimento da MITRE ATT&CK que melhor
dessas equipes trabalham nas mesmas se aplicam à sua organização a fim de garantir
instalações e mantêm contato frequente. a cobertura. Além disso, é provável que você
não precise de tudo o que está na Base de
conhecimento da MITRE ATT&CK. Olhe para
a base de dados de conhecimento da perspectiva
de um adversário: nem todos os adversários do
mundo escolheram a sua organização ou o seu
negócio. Reduza o volume de informações da
base de dados de conhecimento que você precisa

rastrear considerando os adversários que ação por parte da equipe de TI. Ter bons
escolhem empresas como a sua e entendendo relacionamentos e conhecer as funções,
as técnicas que eles aplicam nos ataques. as responsabilidades e os conjuntos de
Você pode criar detecções com base em quais habilidades dos membros da equipe de TI
adversários e técnicas são mais propensos a pode ajudar você a chegar à pessoa certa mais
escolher a sua organização. rapidamente quando ocorre um incidente.
Desse modo, a Base de dados de

conhecimento da MITRE ATT&CK passa
Melhoria contínua
a ser uma ferramenta que você pode usar
para formar um conceito sobre o que os
Depois que um ataque for remediado, você
invasores provavelmente farão se tentarem
deve presumir que os adversários tentarão
explorar sua organização e criar detecções
aprender com o que aconteceu e agir com
proativamente considerando esses possíveis
novas ideias e ferramentas. Os analistas
padrões de ataque.
também devem se concentrar em aprender
com cada incidente para melhorar habilidades,
processos e ferramentas. Essa melhoria
Crie afinidade com a TI contínua pode ocorrer por meio de muitos
processos informais e formais, que abrangem
Em muitas organizações, as operações de desde revisões formais de casos a conversas
segurança não controlam o ambiente de casuais, em que os analistas contam as histórias
tecnologia. Muitas vezes, é a TI que define de incidentes e compartilham observações
como o ambiente é equipado. As opções de interessantes.
resposta e correção disponíveis das quais
você depende com frequência dependem Conforme permitido pelo volume de
das opções de tecnologia que a TI escolheu trabalho, a equipe de investigação também
de maneira independente. Pode ser útil criar pode buscar os adversários proativamente,
relacionamentos e gerar uma conscientização o que pode ajudá-la a permanecer atenta
das várias funções com a TI. Quando cada e desenvolver habilidades. Por fim, os exercícios
grupo sabe no que o outro está trabalhando de purple teaming devem ser elaborados
e conhece os desafios e limitações enfrentados tendo a melhoria contínua como um dos
para cumprir sua parte na missão de objetivos. Conforme as red teams conseguirem
proteger a organização, eles podem acelerar escapar da detecção pelos defensores nos
a modernização e aumentar a segurança. exercícios, adote esses momentos como
Além disso, haverá muitas ocasiões em que oportunidades importantes de aprendizado
uma correção bem-sucedida exigirá uma e aperfeiçoamento para todos.

Recomendações
finais
Modernizar as operações de 1. Adote a Confiança Zero – o modelo

segurança é uma grande empreitada. de Confiança Zero envolve a verificação
Você precisará envolver stakeholders explícita, o uso do conceito de acesso com
privilégios mínimos e a mentalidade de
da organização inteira, e não pense
"suposição de violação". Inicie a jornada
que conseguirá fazer tudo de uma
da Confiança Zero mudando o plano de
só vez. Mas há algumas medidas controle de segurança dos perímetros de
que você pode tomar agora para rede para a identidade.
reduzir vulnerabilidades, aumentar
a visibilidade das operações de 2. Segregue as contas com privilégios
segurança e melhorar a eficiência e a elevados – Identifique as contas da
eficácia para se defender de invasores organização que seriam as mais desejadas
avançados: dos invasores, separe-as usando estações
de trabalho com acesso privilegiado (PAWs)
e proteja as contas de administrador. Essas
contas podem causar mais dano se forem
comprometidas, por isso você deve começar
os trabalhos de proteção por elas.
1 2 3 4. Recomendações finais
3. Reforce a cadeia de suprimento – Isso 4. Invista em testes de penetração – Se

se encaixa na mentalidade de "mudança" antecipe aos vilões. Use testes de penetração
que abordamos na seção sobre práticas para encontrar pontos de falha antes de ser
recomendadas deste guia. Infiltrar códigos atacado. Use os resultados dos testes de
ou componentes maliciosos nos produtos penetração não como um boletim, mas como
de software que você recebe, e confia, de informação para um processo de melhoria
fornecedores é uma maneira cada vez mais contínua.
comum que os invasores usam para escapar
das suas defesas. Aumente a conscientização 5. Tenha recursos de investigação
a respeito da cadeia de ataques informando- abrangente – Certifique-se de que você
se sobre o que os fornecedores estão fazendo tem condições de investigar o ambiente
para se manterem seguros, sabendo o que inteiro. Trabalhe para obter uma visibilidade
você usa e onde e continuando a investir para abrangente de diferentes perspectivas – do
melhorar o gerenciamento de ativos. ponto de extremidade à identidade, dos dados
à IoT e entre nuvens. Desse modo, você poderá
fazer uma investigação rápida e a detecção
antecipada, que são essenciais para manter a
segurança.
6. Integre as ferramentas de operações

de segurança – Elimine silos e lacunas
na cobertura adotando uma abordagem
integrada. Equipe os analistas com amplitude e
profundidade de cobertura usando SIEM e XDR
integrados e nativos de nuvem.
1 2 3 4. Recomendações finais
41
Saiba mais sobre como as soluções de

segurança Integrada da Microsoft podem
ajudar você a modernizar as operações de
segurança e trazer a visibilidade de que você
precisa para manter a organização protegida.
SIEM e XDR: seus aliados Uma abordagem integrada para

contra o ransomware > o aumento da eficiência do SOC >
©2022 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no estado em que
se encontra". As informações e opiniões expressas aqui, incluindo URLs e outras referências a sites, podem
ser alteradas sem aviso prévio. Você assume o risco de utilização. Este documento não oferece a você direitos
legais sobre a propriedade intelectual de produtos da Microsoft. Você pode copiar e usar este documento
para referência interna.

Práticas Recomendadas e Lições Aprendidas Com o Microsoft Cyber Defense Operations Center

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Práticas Recomendadas e Lições Aprendidas Com o Microsoft Cyber Defense Operations Center

Enviado por

Direitos autorais:

Formatos disponíveis

Operações de segurança modernas:

A função das operações de segurança

2. Modernização das operações de segurança 13

Seja proativo, não reativo

3. Práticas recomendadas para operações de segurança 28

Visão geral das operações

Como profissional de segurança, você que já violou um perímetro, e, com um ataque

Os invasores continuam a inovar,

1. Visão geral das operações de segurança 2 3 4

Lições aprendidas com

Os aprendizados e as práticas recomendadas ● Sobrecarga dos analistas – os conjuntos

● Volume de eventos – alto volume

O SOC corporativo de TI da Microsoft protege um ambiente

1. Visão geral das operações de segurança 2 3 4

A função das operações

1. Visão geral das operações de segurança 2 3 4

● Detectar – as operações de segurança A efetividade nessas áreas reduz o risco,

1. Visão geral das operações de segurança 2 3 4

Na Microsoft, focamos em quatro

● Exercícios de prática conjunta

● Atualizações dos principais incidentes

1. Visão geral das operações de segurança 2 3 4

● Contexto de negócios – entender o que ● Principais atualizações de incidentes –

● Exercícios de prática conjunta – praticar

1. Visão geral das operações de segurança 2 3 4

1. Visão geral das operações de segurança 2 3 4

Funções típicas das

● Investigação e resposta a incidentes –

1. Visão geral das operações de segurança 2 3 4

● Inteligência tática contra ameaças – de grande porte provavelmente contam

Em grande parte, a inteligência tática contra ameaças é uma

1. Visão geral das operações de segurança 2 3 4

Para equipes de operações

● Busca proativa – às vezes, adversários Realisticamente falando, no momento atual,

● Inteligência estratégica contra ameaças –

1. Visão geral das operações de segurança 2 3 4

Seja proativo, não reativo

Com ferramentas e automação sólidas,

1 2. Modernização das operações de segurança 3 4

alta qualidade e outras funcionalidades 1. Muitos alertas são processados de modo

1 2. Modernização das operações de segurança 3 4

Reduzir a superfície de ataque é outra etapa Estas são as etapas de uma

2. Exploração de uma vulnerabilidade –

3. Movimento lateral – depois de entrarem,

4. Exportação de dados – depois de

1 2. Modernização das operações de segurança 3 4

A falta de orquestração entre as ferramentas resolver seções específicas da cadeia de

Técnicas de ataque modernas, como phishing e pulverização de

1 2. Modernização das operações de segurança 3 4

Ingerir dados Detectar Investigar Buscar Aplicativos

XDR Sinais adicionais

1 2. Modernização das operações de segurança 3 4

● O Microsoft Sentinel, nosso SIEM nativo Operações de segurança

Saiba mais sobre a proteção integrada

Nossas tecnologias de segurança integradas SIEM e XDR

1 2. Modernização das operações de segurança 3 4

Modernizar significa aprimorar as táticas

Em vez de criar defesas fortes na rede

1 2. Modernização das operações de segurança 3 4

1. Verificar explicitamente – sempre Uma abordagem de Confiança Zero deve

Cada um desses seis elementos fundamentais é uma

1 2. Modernização das operações de segurança 3 4

Autenticação forte Conformidade do