Por: Jason Wilson, gerente de mercadotecnia de producto en Microsoft Security.
Conforme se transforma el lugar de trabajo moderno, el área de superficie de los ataques a la identidad crece de manera exponencial, a través de la nube y los lugares físicos, y abarca una multitud de aplicaciones y terminales. Los equipos de Operaciones en Seguridad (SecOps, por sus siglas en inglés) tienen el reto de monitorear las actividades de los usuarios, sospechosas o no, a través de todas las dimensiones de la superficie de ataques a la identidad, a través de múltiples soluciones de seguridad que por lo general no están conectadas. Debido a que la protección a la identidad es primordial para el lugar de trabajo moderno, investigar las amenazas a la identidad requiere de una sola experiencia para monitorear todas las actividades del usuario y cazar comportamientos sospechosos con el fin de clasificar a los usuarios de manera rápida.
En esta ocasión, Microsoft anuncia la nueva experiencia de investigación de amenazas a la identidad, que correlaciona alertas y actividades de identidad de Azure Advanced Threat Protection (Azure ATP), Azure Active Directory (Azure AD) Identity Protection, y Microsoft Cloud App Security en una sola experiencia de investigación para analistas y cazadores de seguridad por igual.
Los ataques modernos a la identidad aprovechan los ambientes híbridos de nube como una sola superficie de ataque
La experiencia de investigación de amenazas a la identidad combina señales de identidad de usuarios de sus servicios en sitio y en la nube para cerrar la brecha entre señales dispares en su ambiente y aprovecha Analítica de Comportamiento de Entidad y de Usuario (UEBA, por sus siglas en inglés) de vanguardia para dar prioridad a sus investigaciones y reducir los tiempos de investigación, para poner fin a la necesidad de cambiar ente soluciones de seguridad para la identidad. Esto brinda a los equipos de SecOps más tiempo y la información correcta para tomar mejores decisiones y remediar amenazas y riesgos a la identidad de manera activa.
Azure ATP brinda detecciones y actividades en sitio con analítica de comportamientos anormales para asistir en la investigación de los usuarios que están más en riesgo. Microsoft Cloud App Security detecta y alerta a los analistas en seguridad el potencial de exfiltración de datos para aplicaciones de nube propias y de terceros. Y Azure AD Identity Protection detecta información Inusual de inicio de sesión e implementa acceso condicionado en el usuario comprometido hasta que se resuelva el problema. Combinados, estos servicios analizan las actividades y las alertas, a través de UEBA, para determinar comportamientos de riesgo y brindarles una calificación de prioridad de investigación para optimizar la respuesta a incidentes relacionados con identidades comprometidas.
Para simplificar aún más sus flujos de trabajo de SecOps, integramos la nueva experiencia en el portal Cloud App Security, sin importar que utilicen hoy Microsoft Cloud App Security. A la vez que enriquece cada alerta con información adicional, también les permite pasar de manera sencilla de la línea de tiempo de la alerta correlacionada, directo a una investigación más a fondo y a una experiencia de caza.
Prioridad de investigación de usuario
Agregamos una nueva dimensión al modelo actual de investigación que está basado en el número de alertas totales con una nueva prioridad de investigación de usuario, la cual está determinada por todas las actividades y alertas de usuario que podrían indicar un ataque avanzado activo o una amenaza interna.
Para calcular la prioridad de la investigación de usuario, cada evento anormal es calificado con base en la historia del perfil del usuario, sus colegas, y la organización. Adicional a esto, el impacto potencial al negocio y al recurso de cualquier usuario es analizado para determinar la calificación de la prioridad de investigación.
El nuevo concepto está incluido en la página de usuario actualizada, que brinda información relevante sobre quién es el usuario, la calificación de prioridad de investigación, cómo se compara a través de todos los usuarios dentro de la organización, y alertas y actividades anormales del usuario.
En la imagen a continuación, la calificación de 155 de la prioridad de investigación del usuario lo pone en el porcentaje alto dentro de la organización, lo que lo convierte en uno de los usuarios principales a ser investigado por los analistas de seguridad.
La calificación es mostrada en el panel principal para ayudarles a tener una idea inmediata de cuáles usuarios representan en la actualidad el riesgo más alto dentro de su organización y deberían ser prioridad para una próxima investigación.
Experiencia de investigación y cacería mejoradas
Más allá de la correlación y una página de usuario rediseñada, la nueva experiencia de investigación para amenazas a la identidad también agrega nuevas y avanzadas capacidades de investigación en específico para clientes de Azure ATP, sin importar si eligen utilizar Azure AD Identity Protection y o Microsoft Cloud App Security.
Estas capacidades incluyen:
- La capacidad para los analistas de seguridad de desempeñar una cacería de amenazas con mayor contexto en recursos en sitio y en la nube al aprovechar las avanzadas capacidades de filtrado y la información de alerta enriquecida.
- Visibilidad y gestión de niveles de riesgo de usuario de Azure AD con la capacidad de confirmar el estatus de un usuario comprometido, que cambia el nivel de riesgo de usuario a Alto en Azure AD.
- Creación de políticas de actividad para determinar acciones de gobierno y aprovechar las capacidades integradas de automatización a través de la integración nativa con Microsoft Flow para detectar alertas de manera más sencilla.
Comiencen a utilizar hoy la versión previa pública
Si son uno de los muchos clientes empresariales que ya utilizan Azure ATP, Microsoft Cloud App Security, y/o Azure AD Identity Protection y quieren probar la nueva experiencia de investigación de amenazas, comiencen con revisar nuestra documentación técnica.
Si apenas han comenzado su trayecto, inicien una prueba de Microsoft Threat Protection para experimentar los beneficios de la solución de protección contra amenazas más completa, integrada y segura para el lugar de trabajo moderno.
¡Nos encanta escuchar sus comentarios! Encuéntrenos en Azure ATP Tech Community y envíen sus preguntas o comentarios sobre la nueva experiencia.
