Você Conhece o o365soa?  – Office 365 Security Optimisation Assessment

Trata-se de um conjunto de scrips que foram desenvolvidos para podermos proteger, detectar e responder as ameaças no ambiente de Microsoft 365.

Nesta primeira postagem, de uma serie de duas, vamos trabalhar com a configuração do ambiente para podermos obter os dados e na segunda postagem com a obtenção e analise inicial dos dados.

No final vamos conseguir gerar um relatório contendo as informações necessárias para melhorarmos a seguranção do ambiente!

Toda a documentação oficial esta disponivel ao final dessa postagem, e eu sugiro fortemente que vocês leiam a documentação oficial.

Então vamos adiante, qual o motivo de fazermos uma analise de segurança?

O motivo é simples:

Proteger: É o ato de usarmos as ferramentas adequadas para os infinitos cenários que possuímos a fim de prover segurança cibernética para o ambiente do Microsoft 365

Detectar: Buscar por meio de análise do ambiente as vulnerabilidades que estão ativas e aquelas que podem ser evitadas com ajustes nas configurações e assim aumentar a proteção

Responder: Buscar por meio das ferramentas disponíveis remediar a fim de reduzir os danos no ambiente.

Office 365 Security Optimisation Assessment não se destina a ser uma avaliação de segurança de ponta a ponta ou um teste de penetração. A avaliação deve ser incorporada como parte de uma estratégia global para melhorar a postura de segurança da organização.

O resultado do Office 365 Security Optimisation Assessment é um conjunto de recomendações que podem ser divididos de acordo com a imagem abaixo:

Mudança Fortemente Recomendada: São mudanças que devem acontecer o mais rápido possível, mostram que o ambiente está fortemente vulnerável

Mudança Recomendada: São mudanças em atividades que vai tornar o ambiente mais seguro e evitar a exposição de informações.

Recomendada: Não afeta a segurança do ambiente, mas, eleva a segurança cibernética do ambiente

Informativo: trata-se de informar ao cliente sobre o ambiente.

Aprovado: A configuração atual está de acordo com o recomendado.

Mas para gerar a classificação temos que ter os dados, e como conseguir?

Obtendo os dados

O SOA é um projeto que esta disponivel no GitHub, neste link você vai até a pagina oficial, se ficar comigo vou te mostrar como obter os dados.

Para executar o script necessario primeiramente temos que configurar o ambiente atendendo os pré-requisitos.

Configurando os Pré-requisitos

A instalação de pré-requisito é simplificada pelo uso de um script de pré-requisito do PowerShell

Os seguintes pré-requisitos são instalados ou atualizados pelo script de instalação de pré-requisitos:

  • Módulo do PowerShell do Azure AD MSOnline (v1)
  • Módulo do PowerShell de visualização do Azure AD (v2)
  • Módulo do PowerShell do Exchange Online (v2)
  • Módulo do PowerShell do SharePoint Online
  • Módulo do Microsoft Teams PowerShell
  • Módulo do PowerShell de administrador do Power Apps
  • Módulo do Active Directory PowerShell

Os seguintes pré-requisitos são removidos

  • Módulo do PowerShell do SharePoint Online – se instalado manualmente, ele é removido do caminho do módulo PS para evitar conflitos
  • Módulo do Azure AD (sem visualização) – entra em conflito com o módulo de visualização do Azure AD necessário

Um aplicativo do Azure AD também é instalado em seu locatário. Para mais informações sobre isso veja abaixo.

Requisitos

Para instalar o módulo e executar o script de pré-requisito, você deve ter:

  • Acesso de administrador local à estação de trabalho da qual você realizará a coleta
  • Acesso à Galeria do PowerShell configurado (configurado automaticamente no PowerShell 5, que é padrão no Windows 10)
  • PowerShellGet versão 2.2.4 ou superior

Install-Module PowerShellGet

Executando o script de pré-requisito

  1. Carregue um prompt do PowerShell como administrador
  2. Execute o seguinte:

Install-Module SOA

  1. Execute o seguinte para instalar os pré-requisitos (veja abaixo os parâmetros opcionais que podem ser aplicáveis):

Install-SOAPrerequisites

Antes de iniciar você deve fechar todas as janelas do PowerShell.

Execute novamente o comando e confirme com “Y” quando solicitado.

Conecte nos modulos e conclua a conexão.

Máquina de coleta

O script deve ser executado na máquina que você usará para realizar a coleta como parte do compromisso. Por favor, considere o seguinte:

  • A máquina não deve ser um servidor de produção, pois o script de pré-requisito pode causar uma reinicialização durante a instalação dos módulos.
  • Você precisa estar conectado como administrador local.

Aplicativo do Azure AD

Um aplicativo do Azure AD é necessário para realizar chamadas de API para o Microsoft Graph e, se aplicável, o Microsoft 365 Defender. A instalação deste aplicativo é realizada pelo script de pré-requisito. Há algumas coisas, no entanto, que você deve estar ciente de:

O escopo desta aplicação é limitado ao seguinte:

  • SecurityEvents.Read.All (esse escopo permite que SOA leia eventos de segurança ativos em seu locatário do Microsoft Graph.)
  • IdentityRiskyUser.Read.All (Este escopo permite que SOA examine eventos de risco de identidade gerados pelo Azure Identity Protection.)
  • IdentityRiskEvent.Read.All (esse escopo permite que SOA examine eventos de risco de identidade gerados pelo Azure Identity Protection.)
  • DeviceManagementConfiguration.Read (Este escopo permite que SOA leia suas políticas de configuração do Intune, se aplicável.)
  • AuditLog.Read.All (Este escopo permite que SOA obtenha atividade de entrada para contas de usuário e convidado.)
  • Directory.Read.All (Este escopo permite que SOA obtenha atividade de login para contas de usuário e convidado.)
  • Policy.Read.All (Este escopo permite que SOA obtenha sua autorização e políticas de acesso condicional.)
  • Incident.Read.All (Este escopo permite que SOA obtenha seus incidentes de segurança do Defender.)

Segurança de aplicativos do Azure AD

Sendo uma avaliação relacionada à segurança, estamos conscientes da segurança do aplicativo Azure AD criado para ele, razão pela qual são feitas as seguintes considerações de segurança:

  • Os aplicativos do Azure AD têm escopo apenas para determinadas atividades e os escopos para esse aplicativo estão documentados acima. Os escopos são usados ​​apenas quando necessários e a avaliação segue um modelo de privilégio mínimo. Todos os escopos são somente leitura e específicos para definições de configuração, sem acesso a nenhum conteúdo do usuário.
  • O segredo do cliente do aplicativo Azure AD (essencialmente, uma senha) é gerado aleatoriamente pelo Azure AD na criação (para validar a instalação) e configurado para expirar após 48 horas.
  • Outro segredo do cliente, também configurado para expirar após 48 horas, é gerado no dia da coleta para obter os dados necessários.
  • O segredo do aplicativo do Azure AD é armazenado apenas na memória durante a execução do script de instalação de pré-requisito e do script de coleta de dados. (Ele nunca é armazenado em um arquivo.)

Remoção do aplicativo Azure AD

Você pode remover o aplicativo do Azure AD na conclusão do compromisso. Isso não é considerado necessário, pois o aplicativo tem apenas um segredo de curta duração e não pode ser usado sem um segredo válido. É importante, no entanto, que você não remova o aplicativo do Azure AD antes da conclusão do compromisso.

Refêrencias:

https://github.com/o365soa/soa#office-365-soa-prerequisites


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s