SOA – Obtenção dos dados, confecção de relatório – Parte 2/2

Proteger, Detectar e Responder…

Uma estratégia efetiva de segurança cibernética passa necessariamente pelos pilares citados acima, Proteger, detectar e Responder.

O SOA, Office 365 Security Optimization Assessment, é focado na obtenção dos dados para que você possa analisá-los e traçar uma estratégia que possa proteger e responder as ameaças, portanto, fica claro que o SOA não trabalha sozinho ele depende do seu conhecimento para poder ser efetivo.

Após termos os dados gerados pelo SOA compete a nós analisarmos os itens, e para fazer isso temos que conhecer a fundo o ambiente de segurança cibernética do Microsoft 365.

Análise de Segurança Cibernética do Microsoft 365

Os itens abaixo são obrigatórios que você, administrador, tenha um conhecimento acima da média para poder prover mais segurança ao ambiente, sem o conhecimento adequado os dados, que valem ouro, não terão valor para você.

O melhor método de ter esse conhecimento e estudando, não existe mágica.

Domine os assuntos abaixo, sua arquitetura e suas implicações assim você consegue criar relatorios tão completos e eficientes como os relatorios oficiais.

  • Email Security
  • Zero-day Threats
  • Sender Authentication
  • Spoofing and Impersonation Protection
  • Simulating Phishing Attacks
  • Mitigating Phishing Attacks
  • Search & Destroy
  • Auditing and Reporting
  • Miscellaneous Email Risks
  • Zero Trust & Identity
  • Multi-factor Authentication (MFA)
  • Enterprise Applications
  • Azure AD Identity Protection
  • Device Security
  • Account Compromise Remediation
  • Principle of Least Privilege
  • Microsoft 365 Groups
  • Power Platform
  • Guest Access
  • SharePoint Online
  • Microsoft Teams

Procure fundamentalizar cada achado com o alinhamento dos componentes da estrutura MITRE ATT&CK para demonstrar como ela se relaciona com a atividade de ataque em potencial.

Essas táticas estão listadas abaixo:

Initial AccessThe adversary is trying to get into your network
ExecutionThe adversary is trying to run malicious code
PersistenceThe adversary is trying to maintain their foothold
Privilege EscalationThe adversary is trying to gain higher-level permissions
Defense EvasionThe adversary is trying to avoid being detected
Credential AccessThe adversary is trying to steal account names and passwords
DiscoveryThe adversary is trying to figure out your environment
Lateral MovementThe adversary is trying to move through your environment
CollectionThe adversary is trying to gather data of interest to their goal
Command and ControlThe adversary is trying to communicate with compromised systems to control them
ExfiltrationThe adversary is trying to steal data
ImpactThe adversary is trying to disrupt availability or compromise integrity

Você já sabe o que tem que estudar e já sabe onde tem que fundamentalizar seus achados, agora vamos verificar como obter os dados.

Obtendo os dados

Existem duas formas de obter os dados, a primeira e sem dúvida a mais completa que é tendo um contrato tipo “premier” junto a Microsoft, assim sua organização terá um engenheiro da fabricante e ele vai poder realizar as análises de forma mais ampla.

A segunda e você continuar comigo que vou te mostrar as features de segurança por licenciamento que podem ser alvo de uma análise, obviamente que é mais trabalhoso do que contar com o apoio de um engenheiro da Microsoft, mas, eu não tenho dúvidas disso, se você fizer você vai aprender muito mais.

Alvos do licenciamento E1

Alvos do licenciamento E3

Alvos do licenciamento E5

Após obter os dados de análise, recomendável que você faça por script, vem a parte mais difícil que é analisar e classificar os dados, a classificação dos dados deve ser realizada com base nas recomendações de segurança da fabricante, neste caso, A Microsoft.

Entenderam que não adianta derramar um monte de scripts se não temos o conhecimento necessário para interpretar os dados? Eu estou dando o caminho, busquem o conhecimento e criem seus próprios relatórios com as sugestões de segurança apropriadas tendo como base a documentação oficial.

Classifiquem o resultado com a severidade adequada, lembrando que nem tudo que é de alta severidade para um será para outro! É preciso conhecer o ambiente.

Uma boa classificação eu sugiro abaixo:

Espero que com essa dicas todos possam criar relatórios melhores, com mais eficiencia.

até a próxima!


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s