As equipas de segurança não precisam de mais alertas desconexos. Precisam de um contexto melhor.
Isso é especialmente verdade no que diz respeito à segurança de identidades, onde a diferença entre um evento suspeito e uma ameaça real resume-se, muitas vezes, à compreensão da exposição, dos privilégios, das vias de ataque e do que é mais importante do ponto de vista operacional. Se o seu SOC consegue ver um alerta, mas não consegue compreender rapidamente como essa identidade está ligada a ativos críticos, não melhorou a resposta. Apenas acrescentou mais um ecrã para observar.
É por isso que estou entusiasmado com o trabalho que a Semperis tem vindo a realizar com o Microsoft Sentinel e o Security Copilot.
Dispomos agora de uma integração funcional e pronta para utilização no terreno que incorpora o Semperis Lightning Intelligence no ecossistema de segurança da Microsoft, utilizando componentes nativos da Microsoft, incluindo o Azure Functions, o DCE/DCR, as tabelas do Log Analytics Workspace, o KQL, o Security Copilot e o MCP.
Visto de fora, isto pode parecer uma história de integração. Na prática, é algo mais importante: uma forma de tornar os riscos de identidade passíveis de ação no âmbito dos fluxos de trabalho que as equipas de segurança já utilizam diariamente.
Por que integrar o Semperis com o Sentinel e o Copilot?
O verdadeiro problema não é o volume de alertas. É a falta de contexto de identidade.
Há anos que os responsáveis pela segurança se debatem com um fosso entre a visibilidade da identidade e a resposta operacional. Pode saber que um utilizador representa um risco, ou que um ambiente apresenta uma exposição perigosa, mas essa informação encontra-se frequentemente num console distinto, num conjunto de dados distinto ou numa conversa de equipa distinta.
Entretanto, o SOC está a avançar a um ritmo acelerado. Os analistas precisam de investigar incidentes, detetar ameaças e responder a questões críticas sem perder tempo a alternar constantemente entre ferramentas. É aí que a segurança de identidade falha com demasiada frequência.
A nossa abordagem com Lightning Intelligence sempre Lightning Intelligence em centrar-nos no que é mais importante do ponto de vista do defensor, especialmente nos percursos que conduzem aos ativos críticos de Nível 0.
A integração com a Microsoft alarga essa filosofia ao fluxo de trabalho do SOC, disponibilizando os dados do Lightning diretamente no Sentinel, onde os analistas podem consultá-los, correlacioná-los e utilizá-los em investigações em curso.
Isso é importante porque a identidade já não é um domínio de segurança de nicho. É um elemento central nas vias de ataque modernas em ambientes híbridos.
Como funciona a integração: nativa da Microsoft, concebida para operações reais
Uma coisa que considero importante em qualquer integração de segurança é se esta é prática.
- Será que é escalável?
- Será que se adapta à arquitetura existente do cliente?
- Será que as equipas podem realmente utilizá-lo em ambiente de produção?
Neste caso, todas as respostas são «sim».
A integração utiliza um conector baseado em Azure Functions, de nível de produção, para extrair dados das APIs REST do Lightning segundo uma programação configurável e transmiti-los para o Sentinel através do DCE/DCR. Isto proporciona aos clientes uma opção mais robusta do que depender apenas da estrutura de conectores sem código, mantendo-se, ao mesmo tempo, totalmente nativa do Azure.
É igualmente importante referir que isto não se limita a um subconjunto restrito de telemetria. A integração processa todos os tipos de dados do Lightning e todos os fornecedores de identidade suportados expostos pela API, incluindo o Active Directory, o Entra ID e outras fontes suportadas. Por outras palavras, o Sentinel obtém uma visão mais ampla e completa do estado da identidade híbrida e das vias de ataque, e não apenas uma visão parcial de eventos específicos do AD.
Cada tipo de dados do Lightning é mapeado para a sua própria tabela personalizada no espaço de trabalho do Log Analytics, o que significa que as equipas podem utilizar esses dados como entrada de primeira classe para consultas KQL, painéis, cenários de deteção e regras de análise. Trata-se de uma escolha de conceção importante.
As boas integrações não se limitam a transferir dados. Tornam os dados utilizáveis.
O que é que a integração com a Semperis altera no SOC?
O valor mais imediato reside na resposta a incidentes e na deteção proativa de ameaças.
Quando um analista recebe um alerta relativo a uma identidade, pode aceder diretamente no Sentinel a informações contextuais derivadas do Lightning, tais como percursos de ataque, exposição de Nível 0 e indicadores de postura, sem sair do ambiente de segurança da Microsoft. Isso reduz os obstáculos precisamente no momento em que a rapidez e a clareza são mais importantes.
O modelo de dados também suporta tanto a triagem do estado atual como a investigação histórica. Uma vez que os dados são do tipo «apenas adição» e incluem carimbos de data e hora — e dado que a retenção pode ser ajustada em todos os níveis de análise e do data lake —, as equipas podem utilizá-los tanto para investigações em tempo real como para análises retrospectivas e de tendências. A deduplicação pode, então, ser gerida ao nível da consulta ou do agente.
Do ponto de vista operacional, a sincronização por hora predefinida estabelece um equilíbrio prático entre a atualização dos dados e os custos, permitindo, ao mesmo tempo, que a frequência de consulta seja ajustada de acordo com os requisitos do cliente. É esse tipo de compromisso que as equipas de segurança experientes valorizam.
Não precisa de perfeição teórica. Precisa de dados úteis, suficientemente atempados para fazerem a diferença, num formato que se adapte aos seus fluxos de trabalho e ao seu orçamento.
Quando a IA se torna verdadeiramente útil
Há muito alarido no mercado em torno da IA na área da segurança. A minha opinião é simples:
A IA só é útil quando ajuda os analistas a agir mais rapidamente e com melhor discernimento.
É por isso que considero a parte relativa ao Security Copilot desta história particularmente interessante.
A Semperis desenvolveu e demonstrou agentes personalizados do Security Copilot que funcionam inteiramente no âmbito da pilha de segurança da Microsoft, utilizando ferramentas baseadas em KQL nas tabelas Lightning do Sentinel.
- Estes agentes podem funcionar tanto no modo baseado em tarefas como no modo conversacional. Podem receber uma identidade como entrada e devolver um resumo estruturado do risco e da postura de segurança, incluindo caminhos expostos, proximidade de Nível 0 e indicadores de risco.
- Também conseguem lidar com erros ortográficos e correspondências aproximadas, procurando identidades semelhantes e tentando novamente de forma automática — o que pode parecer insignificante até pensarmos na frequência com que esse tipo de obstáculo atrasa as investigações no mundo real.
- Mais importante ainda, permitem responder a questões de nível superior que são relevantes para os defensores, tais como quem são os atacantes mais perigosos ou quais os alvos de Nível 0 mais expostos, através da utilização de ferramentas KQL adicionais sobre os dados integrados.
É aí que a IA começa a passar de uma novidade para um valor operacional. Não está a substituir o analista. Está a acelerar a capacidade do analista de transformar os dados de telemetria de identidade em informações úteis.
E como estes agentes podem ser publicados através da Microsoft Security Store, os clientes comuns podem descobrir, implementar e utilizar o conector e os agentes diretamente a partir do ecossistema da Microsoft.
Por que é que isto é importante do ponto de vista estratégico
Numa perspetiva mais ampla, esta integração reflete a direção que a arquitetura de segurança está a tomar.
- O Sentinel torna-se a plataforma central de análise e deteção. O armazenamento em camadas promove a flexibilidade operacional e o controlo de custos.
- O Security Copilot adiciona uma camada de orquestração baseada em IA destinada a analistas e equipas de resposta.
Para as organizações que já estão a adotar o Security Copilot como padrão, o modelo também está em consonância com a abordagem da Microsoft em matéria de computação de IA segura, provisionada pelo cliente, e medição de recursos.
Essa combinação é poderosa porque não obriga os defensores a escolherem entre a profundidade da identidade e a consistência da plataforma. Podem ter ambas as coisas.
As equipas de segurança já sabem que a identidade é um campo de batalha crucial. O próximo passo é disponibilizar a informação sobre identidades nos locais onde as decisões são tomadas. Com o Semperis Lightning Intelligence, o Microsoft Sentinel e o Security Copilot a trabalharem em conjunto, esse futuro já está a tomar forma.
Saiba mais sobre Lightning Intelligence veja vídeos a mostrá-lo em ação.
Quer saber exatamente como Lightning Intelligence beneficiar a sua organização? Solicite uma demonstração. Estamos aqui para ajudar.
