Antes de mergulharmos nas dicas técnicas que mencionei no meu post anterior, quero levantar um ponto importante. Se depender apenas de ferramentas de gestão de eventos e informações de segurança (SIEM) para a monitorização da segurança do Active Directory (AD) - especialmente contra potenciais ataques de cibersegurança - poderá não estar a obter uma imagem completa do que está a acontecer na sua rede e nos seus sistemas.
O que são ferramentas SIEM?
As ferramentas SIEM reúnem, centralizam e analisam vários registos de rede, sistema, aplicação e outros. Muitos registos de eventos produzem uma quantidade avassaladora de dados. As ferramentas SIEM podem ser incrivelmente úteis para obter uma visão unificada dos eventos registados.
Muitas organizações confiam nas ferramentas SIEM para controlar os registos de segurança em busca de potenciais comportamentos maliciosos, incluindo ameaças ao AD. As ferramentas SIEM populares incluem o Splunk e o Microsoft Sentinel.
Porque é que não deve confiar nas ferramentas SIEM para a segurança do AD?
Um problema em confiar nas ferramentas SIEM para a monitorização do AD é que os ciberataques se tornaram hábeis a contornar os registos de segurança do AD. O DCShadow é apenas um exemplo desse tipo de ciberataque. Aqui estão outras desvantagens de uma estratégia apenas de SIEM:
- Limitações da recolha de dados: Os SIEMs recolhem e analisam apenas os dados que lhes são enviados. Este conjunto de dados pode não incluir tudo o que é gerado por uma rede ou sistema. Muitas aplicações e serviços não têm capacidades incorporadas de criação de alertas ou eventos. Mesmo aqueles que têm podem não produzir alertas para todos os tipos de acções ou alterações de configuração. Por exemplo, o acesso e as alterações às máquinas virtuais (VMs) podem não ser registados. Estas limitações conduzem a uma visibilidade e monitorização de segurança incompletas.
- Erros de configuração: Os SIEM têm de ser correctamente configurados para analisar eficazmente os dados e fornecer informações significativas. Todos nós sabemos como esse processo pode ser longo e complexo. Os erros de configuração e as configurações incorrectas podem levar a uma análise de dados incorrecta ou perdida, resultando numa visão limitada da actividade da rede.
- Desafios no processamento de dados: Alguns SIEMs não conseguem processar todos os tipos de dados, o que leva a lacunas na monitorização da segurança.
- Informações incompletas sobre ameaças: Os SIEMs dependem frequentemente de feeds de informações sobre ameaças para detectar ameaças conhecidas. No entanto, esses feeds podem nem sempre ser abrangentes ou actualizados.
- Falsos positivos: Os SIEM podem gerar falsos positivos. Estes podem desviar a atenção de problemas de segurança reais e reduzir a eficácia geral do SIEM.
- Não orientados para a segurança: Muitas aplicações e serviços geram registos de eventos que não foram concebidos para a segurança. Os eventos gerados podem ser enigmáticos, ocultando a verdadeira natureza do evento desencadeador.
- Contexto limitado: Normalmente, os SIEM fornecem uma quantidade limitada de contexto para os eventos de segurança. Esta falta de contexto pode dificultar a compreensão do âmbito total de um problema de segurança ou a realização de uma análise da causa raiz.
Como aumentar a eficácia das ferramentas SIEM
Para resolver estas limitações, as ferramentas SIEM devem ser utilizadas como parte de uma estratégia de segurança mais alargada. Combine o SIEM com outras tecnologias de segurança, como firewalls, sistemas de detecção de intrusões e software de protecção de pontos finais. E para manter uma visão abrangente da segurança do AD, certifique-se de que implementa uma ferramenta de monitorização do AD dedicada. Por exemplo, o Semperis Directory Services Protector (DSP ) integra-se facilmente com as ferramentas SIEM.
Saiba mais sobre as ferramentas SIEM e a segurança do AD
