Os alertas de segurança do ATP do Azure explicam as atividades suspeitas detectadas pelos sensores do ATP em sua rede, os atores e os computadores envolvidos em cada ameaça. As listas de evidências dos alertas contêm links diretos para os computadores e os usuários envolvidos para ajudar a tornar suas investigações fáceis e diretas.

Os alertas são divididos nas categorias ou fases a seguir, assim como as fases vistas em uma cadeia de eliminação de ataque cibernético típica. Saiba mais sobre cada fase, os alertas projetados para detectar cada ataque e como usar os alertas para ajudar a proteger sua rede usando os links a seguir:

• Alertas de fase de reconhecimento
• Alertas de fase de credencial comprometida
• Alertas de fase de movimento lateral
• Alertas de fase de comprometimento de domínio
• Alertas da fase de exportação

Grupos confidenciais

A lista de grupos a seguir é considerada Confidencial pelo ATP do Azure. Toda entidade membro de um desses grupos é considerada confidencial:

• Administradores
• Usuários avançados
• Opers. de contas
• Operadores de Servidores
• Operadores de Impressão
• Operadores de cópia
• Replicadores
• Operadores de Configuração de Rede
• Criadores de confiança de floresta de entrada
• Administradores do domínio
• Controladores de Domínio
• Proprietários criadores de política de grupo
• Controladores de domínio somente leitura
• Controladores de domínio somente leitura da empresa
• Administradores de esquemas
• Administrador corporativo
• Servidores do Microsoft Exchange

Marcando contas confidenciais

Além desses grupos as empresas estão protegendo contas confidenciais utilizando o Azure ATP, pois com ele você pode marcar manualmente grupos ou contas como confidenciais para aprimorar as detecções. Isso é importante porque algumas detecções do ATP do Azure, como a detecção de modificação de grupos confidenciais e os caminhos de movimentação lateral, dependem de quais grupos e contas são considerados confidenciais.

Você pode marcar manualmente outros usuários ou grupos como confidenciais, como membros da diretoria, executivos ou diretores de vendas da empresa, entre outros, e o Azure ATP os considerará como confidenciais.

• No portal do Azure ATP, clique na engrenagem de Configuração na barra de menus;
• Em Detecção, clique em Marcas de entidade;
• Na seção Confidencial, digite o nome das Contas confidenciais e Grupos confidenciais e, em seguida, clique no sinal + para adicioná-las;
• Clique em Salvar.

Espero que eu tenha ajudado um pouco, aos que não conhecem terem uma visão melhor de como usar o ATP para proteger contas confidenciais utilizando ferramentas de análise avançadas.

0

“>Compartilhar