Detectando e prevenindo ataques com observabilidade em seu CDN 30 outubro 2024 msincic Azure, Cybersecurity, Governança, Microsoft Azure, Microsoft Defender, Segurança Prevenir ataques ao seu site, seja ele corporativo ou pessoal, é hoje uma necessidade. A melh [Leia mais]
Repositório de Consultas KQL 04 setembro 2024 msincic Azure, Comunidades, Cybersecurity, Governança, Governance, Log Analytics, Microsoft Azure, Segurança Algumas consultas KQL que usamos para o Log Analytics e Resource Graph são simples mas nos fo [Leia mais]
Utilizando o Defender EASM e o Defender TI 01 novembro 2023 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Governança, Microsoft Defender, Segurança Já comentei em posts passados sobre o MDTI (Microsoft Defender for Threat Intelligence) quando integrado com o Sentinel para detectar com KQL indicadores de ataque ou comprometimento (https://www.marcelosincic.com.br/post/Utilizando-os-IoCs-do-Microsoft-Defender-Threat-Intelligence.aspx). Desta vez vamos introduzir uma nova ferramenta que é o EASM (Defender External Attack Surface Management) onde ao indicar um “seed” que podem ser nomes de domínios, IPs de hosts ou DNS ele faz a procura por indicadores de possível ataque. Ele é abrangente por não apenas olhar os Threat Indicators na base do MDTI, mas incluir na analise os certificados vencidos, CVEs que estão expostos, técnicas OWASP, postura de segurança nas configurações e aderência ao GDPR. O melhor de tudo: O EASM É GRATUITO NOS PRIMEIROS 30 DIAS! Habilitando e Configuração Inicial O processo é muito simples, segue um passo a passo: Crie o recurso no Azure, onde informará subscrição, grupo de recursos e tags basicamente Entre nas configurações em “Discovery” e crie a raiz de procura (ou seed) com o “Discovery Group” Nas configurações da procura indique a periodicidade e o que quer procurar Aqui tem um ponto interessante, onde empresas e organizações conhecidas podem ser pré-carregadas na opção de “Import…” que são empresas já conhecidas por bases de internet comum Lembre-se de colocar exclusões caso possua servidores honeypot para não gerar alertas desnecessários Agora é só aguardar de 48 a 72 horas para que a descoberta gere os dados. Analisando os dados gerados No Overview já é possível detectar os diferentes itens que precisam ser observados na forma de listas em tabs. Nesta lista eu já detecto IPs suspeitos por ser utilizado em distribuição de malware na base do MDTI. Olhando ali descobrimos um IP antigo que utilizei em um servidor que hoje é um indicador de ataque: Aqui já pode ser visto um resumo e o indicativo de que um dos IPs é suspeito: O próprio EASM já carrega as informações indicando qual tipo de ataque este IP está sujeito e está registrado no MDTI: Abrindo as tabs de obervação do host podemos ver o que este host hospeda, certificados, reputação e todos os detalhes: Também já tenho uma visão de todos os certificados usados no host para os diferentes domínios, o que me permite detectar certificados internos e externos que estejam vencidos ou próximos de vencer: Neste exemplo descobri mais tarde investigando que um dos dominios hospedados no mesmo servidor estava com vulnerabilidades e sendo usado para distribuição de um site de videos. Alterei o host e removi o registro DNS que apontava para este host, que na verdade era apenas um registro de verify antigo e não estava mais ativo. Conclusão Com o uso do EASM podemos monitorar nossos recursos que estão expostos na internet e assim proteger a nós mesmos e aos nossos clientes!
Entregando Alertas do Sentinel no Teams 29 agosto 2022 msincic Segurança, Azure Sentinel, Cybersecurity, Cloud computing, Microsoft Sentinel Uma funcionalidade simples e muito funcional do Sentinel na integração com playbooks é a entrega como uma mensagem de chat no Teams. O exemplo abaixo demonstra como os alertas são entregues ao Teams com os detalhes do alerta que foi disparado. Criando o Logic Apps e Regra de Automação Quando são instalados os conectores do Sentinel automaticamente é criado um Logic Apps para automação, sem ter tasks configurados exceto a primeira que é o gatilho de incidente. Esse será o playbook que a todos os alertas habilitados é configurado como forma de resposta padrão. Ao editar o playbook entre no objeto For each que é o loop para possibilitar que vários incidentes sejam disparados e não só o primeiro. Isso pode acontecer em ambientes onde uma situação criou mais de um incidentes e a falta deste loop não dispararia para todos os que ocorressem. Note que o loop do For each lê os dados do incidente e os envia para o email com as propriedades abaixo para titulo, destinatario e texto enviado. No caso abaixo deletei o objeto padrão que era email e troquei pelo objeto Post message in a chat or channel que permite enviar a mensagem tanto para um usuário unico como para um grupo ou canal do Teams: O passo seguinte é criar no Sentinel a regra de disparo para o playbook de notificação. Veja que o nome é parecido por minha opção mas poderá usar qualquer outro nome, que poderá facilitar no momento de relacionar os alertas com a chamada de automação. Habilitando as Regras Analíticas para Envio no Teams Entre nas opções de Analytics do Sentinel, habilite as regras que deseja ser alertado e as edite. Nas opções da regra poderá editar a resposta automática de automação que criamos no passo anterior para que o playbook seja executado. Ao editar as regras pode-se criar novas respostas de automação sem ter que criar antes em Automation como fiz anteriormente, apesar de achar que isso pode gerar multiplos objetos orfãos posteriormente. Mas se desejar criar uma nova resposta, poderá clicar no botão Add new e nomear a automação e indicar qual dos playbooks será executado: Pronto, agora você irá receber os detalhes de incidentes diretamente pelo canal ou chat do Teams!
Microsoft Defender for Cloud Secure Posture 31 março 2022 msincic Advisor, Azure, Cloud computing, Cybersecurity, Governança, Microsoft Azure, Segurança Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações [Leia mais]
Painel de Supervisão do Office 365 Compliance 08 março 2020 msincic Office 365, Segurança Como tratado no post anterior http://www.marcelosincic.com.br/post/Novo-Painel-de-Conformidade-e-Riscos-no-Office-365.aspx temos um novo painel voltado ao time de Gerenciamento de Riscos. Agora vamos falar do painel de Supervisão onde é possivel monitorar ações, muito similar ao que o administrador já vê no painel de proteção do Office 365. Diferente do painel de Compliace e do painel de gerenciamento as regras no painel de supervisão tem filtros para usuários específicos e definição dos revisores. O link para esse painel está em https://compliance.microsoft.com/supervisoryreview Veja que diferente do painel inicial do gerenciamento de conformidade, este painel tem seus próprio dashboards e indicativos: Uma vez as regras criadas será possivel ver a efetividade, aplicações e usuários com mais ocorrencias: Criando Regras para Supervisão com Modelos Nesse exemplo criei uma politica baseada em dados sensiveis como CPF, CNPJ e RG, mas a lista é bem grande incluindo dados como contas correntes e cartões de crédito alem dos que você mesmo criar. Nesse segundo exemplo a regra é para linguagem ofensiva, onde ele utiliza o dicionário do Office 365 para detectar esse tipo de ação: Após criar as políticas baseadas em regras é possivel criar modelos de avisos, que são os emails que irei enviar ao usuário em caso de aviso de uma ação não desejada: Editando as Politicas Criadas pelo Modelo Agora ao editar as politicas que os modelos criam, podemos ver o que ele utiliza e tambem customizar:
Microsoft Security Compliance Manager 12 outubro 2010 msincic Segurança, Windows Muitos de nós já precisamos criar os modelos de segurança que são importados nas GPOs definindo a segurança a ser utilizada. A análise dos baselines costuma ser feita com o snap-in “Security Configuration and Analysis” do MMC. Também é comum utilizarmos como base os arquivos baixados do site da Microsoft no formato INI. Porem, a Microsoft acaba de lançar (dia 8/set) a ferramenta Microsoft Security Compliance Manager que passa a ser uma ferramenta profissional da linha Solution Acelerators para trabalhar com os modelos de segurança. Logo ao instalar você terá a possibilidade de baixar os modelos prontos do site da Microsoft: A ferramenta também permite ao administrador organizar os modelos e apenas com um clique com o botão direito do mouse criar a GPO que irá aplicar o modelo, utilizando a opção “Create GPO Backup” abaixo: Vale a pena utilizar este novo SA que facilitará muito a análise, customização e utilização dos modelos de segurança !!! Baixe a ferramenta em http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e&displaylang=en