Entregando Alertas do Sentinel no Teams
Uma funcionalidade simples e muito funcional do Sentinel na integração com playbooks é a entrega como uma mensagem de chat no Teams.
O exemplo abaixo demonstra como os alertas são entregues ao Teams com os detalhes do alerta que foi disparado.
Criando o Logic Apps e Regra de Automação
Quando são instalados os conectores do Sentinel automaticamente é criado um Logic Apps para automação, sem ter tasks configurados exceto a primeira que é o gatilho de incidente.
Esse será o playbook que a todos os alertas habilitados é configurado como forma de resposta padrão.
Ao editar o playbook entre no objeto For each que é o loop para possibilitar que vários incidentes sejam disparados e não só o primeiro. Isso pode acontecer em ambientes onde uma situação criou mais de um incidentes e a falta deste loop não dispararia para todos os que ocorressem.
Note que o loop do For each lê os dados do incidente e os envia para o email com as propriedades abaixo para titulo, destinatario e texto enviado.
No caso abaixo deletei o objeto padrão que era email e troquei pelo objeto Post message in a chat or channel que permite enviar a mensagem tanto para um usuário unico como para um grupo ou canal do Teams:
O passo seguinte é criar no Sentinel a regra de disparo para o playbook de notificação.
Veja que o nome é parecido por minha opção mas poderá usar qualquer outro nome, que poderá facilitar no momento de relacionar os alertas com a chamada de automação.
Habilitando as Regras Analíticas para Envio no Teams
Entre nas opções de Analytics do Sentinel, habilite as regras que deseja ser alertado e as edite.
Nas opções da regra poderá editar a resposta automática de automação que criamos no passo anterior para que o playbook seja executado.
Ao editar as regras pode-se criar novas respostas de automação sem ter que criar antes em Automation como fiz anteriormente, apesar de achar que isso pode gerar multiplos objetos orfãos posteriormente.
Mas se desejar criar uma nova resposta, poderá clicar no botão Add new e nomear a automação e indicar qual dos playbooks será executado:
Pronto, agora você irá receber os detalhes de incidentes diretamente pelo canal ou chat do Teams!
Microsoft Defender for Cloud Secure Posture
Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações do Defender for Cloud para a postura de segurança.
Porque renomear de Secure Score para Secure Posture?
Dizer que você está 100% seguro não quer dizer que realmente não corre risco, e dizer que você possui uma postura 100% segura não quer dizer que não tem vulnerabilidades.
Vamos usar como analogia um motorista e seu veiculo. Esse motorista é cuidadoso e tem todas as manutenções em dia. Ele dirige com prudencia e raramente cometeria uma infração. Porem quantas vezes já não vimos alguem perder o controle porque um pneu furou, um buraco ou deslizamento na pista, defeito no motor, quebra de roda ou eixo, falha no freio e até um mal estar súbito?
Ou seja, sua POSTURA DE SEGURANÇA indica que você segue as recomendações para evitar ter problemas conhecidos, mas um brecha de segurança de um sistema operacional, aplicativo ou device não é um item que você tem como prever, apenas remediar…
Então renomear o “Secure Score” para “Secure Posture” mostra que você segue e tem os itens SOB O SEU CONTROLE remediados e controlados. Mas você ainda está sujeito aos problemas externos, vide os exemplo recenter de vulnerabilidades do iOS, Log4j, SolarWinds, Mikrotik, etc.
Agora o Secure Posture inclui AWS e GCP
Anteriormente já era possivel ingressar com contas AWS e GCP mas elas não refletiam no Score e nem permitiam aplicar as regras de compliance. Assim, era necessário que olhasse separadamente e extraisse dados em mais de uma plataformas para gerar um report de compliance único.
O que mudou é que o Secure Posture mostra todas as Clouds integradas e você verá isso ao entrar no Defender for Cloud a partir de hoje!
Quais as politicas e regras avaliadas?
Esse é um item bem interessante, pois as regras de compliance que você já aplicou ao Azure serão automaticamente duplicadas para representar a mesma postura de segurança no AWS.
Veja abaixo que os mesmos conjuntos de regras aplicadas nas subscrições Azure agora estão aplicadas e adaptadas ao AWS.
Porem é importante ressaltar que apenas de ser possivel exportar os relatórios de compliance não é possivel gerar os reports de auditoria (Audit reports). O motivo é que os relatórios de auditoria é baseado em regras de segurança do datacenter e não apenas do que é serviços, ou seja controle do provedor e do cliente. Por conta disso, cada provedor precisa ter seus próprios relatórios atestando a segurança lógica e física da infraestrutura.
Onboarding de contas AWS
Fazer o onboarding da conta AWS não é um processo trivial pois envolve criar um objeto no CloudWatch e configurar permissões. Mas fazer o processo pelo Azure é simples e ele possui o passo a passo do que deve ser feito e valida ao final.
Ao adicionar uma conta AWS será possivel escolher avaliar apenas a postura ou instalar automaticamente o Azure Arc nas VMs e capturar os logs com o Log Analytics.
Importante lembrar que você poderá usar as politicas e iniciativas do Azure agora no AWS, então os mesmos requisitos customizados que você possua será avaliado nos dois ambientes.
Conclusão
Para clientes com ambiente multicloud agora será possivel ter uma visualização unica da postura baseada nas regras customizadas ou regulamentares únicas.
Anuncio oficial: Security posture management and server protection for AWS and GCP are now generally available - Microsoft Tech Community
Painel de Supervisão do Office 365 Compliance
Como tratado no post anterior http://www.marcelosincic.com.br/post/Novo-Painel-de-Conformidade-e-Riscos-no-Office-365.aspx temos um novo painel voltado ao time de Gerenciamento de Riscos.
Agora vamos falar do painel de Supervisão onde é possivel monitorar ações, muito similar ao que o administrador já vê no painel de proteção do Office 365. Diferente do painel de Compliace e do painel de gerenciamento as regras no painel de supervisão tem filtros para usuários específicos e definição dos revisores.
O link para esse painel está em https://compliance.microsoft.com/supervisoryreview
Veja que diferente do painel inicial do gerenciamento de conformidade, este painel tem seus próprio dashboards e indicativos:
Uma vez as regras criadas será possivel ver a efetividade, aplicações e usuários com mais ocorrencias:
Criando Regras para Supervisão com Modelos
Nesse exemplo criei uma politica baseada em dados sensiveis como CPF, CNPJ e RG, mas a lista é bem grande incluindo dados como contas correntes e cartões de crédito alem dos que você mesmo criar.
Nesse segundo exemplo a regra é para linguagem ofensiva, onde ele utiliza o dicionário do Office 365 para detectar esse tipo de ação:
Após criar as políticas baseadas em regras é possivel criar modelos de avisos, que são os emails que irei enviar ao usuário em caso de aviso de uma ação não desejada:
Editando as Politicas Criadas pelo Modelo
Agora ao editar as politicas que os modelos criam, podemos ver o que ele utiliza e tambem customizar:
Microsoft Security Compliance Manager
Muitos de nós já precisamos criar os modelos de segurança que são importados nas GPOs definindo a segurança a ser utilizada. A análise dos baselines costuma ser feita com o snap-in “Security Configuration and Analysis” do MMC. Também é comum utilizarmos como base os arquivos baixados do site da Microsoft no formato INI.
Porem, a Microsoft acaba de lançar (dia 8/set) a ferramenta Microsoft Security Compliance Manager que passa a ser uma ferramenta profissional da linha Solution Acelerators para trabalhar com os modelos de segurança.
Logo ao instalar você terá a possibilidade de baixar os modelos prontos do site da Microsoft:
A ferramenta também permite ao administrador organizar os modelos e apenas com um clique com o botão direito do mouse criar a GPO que irá aplicar o modelo, utilizando a opção “Create GPO Backup” abaixo:
Vale a pena utilizar este novo SA que facilitará muito a análise, customização e utilização dos modelos de segurança !!!
Baixe a ferramenta em http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e&displaylang=en