TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Conoce cómo configurar Prisma Cloud Threat Detection en 6 pasos

Escrito por Grupo Smartekh on 3/06/21 14:07

Conoce cómo configurar Prisma Cloud Threat Detection en 6 pasosConoce la historia de Alex, un analista de seguridad en la nube (parte del equipo de SecOps) en una institución financiera, que tiene la tarea de garantizar que los entornos en la nube que su organización tiene con varios proveedores de servicios sean seguros.

En su blog "How to Set Up Prisma Cloud Threat Detection in 6 Steps" Rachel Deng, la Product Manager de Cloud Security en Palo Alto Networks, nos habla sobre cómo puedes configurar Prisma Cloud Threat Detection en 6 pasos a través de la historia de Alex, el analista de seguridad en nube que cómo tú, desea mejorar la seguridad en los entornos de nube de su empresa.

>>Conoce los 6 pasos que Alex siguió para configurar Prisma Cloud Threat Detection<<

  • PASO 1. Activar las políticas de anomalías adecuadas.

La institución para la que trabaja Alex sigue la Matriz MITRE ATT & CK ™ para la nube (IaaS) ampliamente adoptada como el principio rector de su estrategia de detección de amenazas. Afortunadamente, las capacidades de detección de amenazas de Prisma Cloud están asignadas a la matriz MITRE ATT & CK , lo que hace que Alex habilite las políticas específicas sin problemas:

MITRE ATT & CK para tácticas en la nube Políticas de anomalías de Prisma Cloud Detalles
Descubrimiento Actividad de escaneo de puertos

 

Actividad de barrido de puertos

A través de actividades de escaneo / barrido de puertos, los adversarios pueden descubrir vulnerabilidades asociadas con los servicios en ejecución.
Acceso a credenciales Errores excesivos de inicio de sesión

 

Intentos de secuestro de cuenta

El trabajo remoto aumenta los riesgos de credenciales comprometidas y amenazas internas. Estas políticas ayudarán a Alex a detectar las anomalías.
Persistencia Actividad inusual del usuario Una vez que un adversario obtiene acceso, ya sea debido a amenazas internas o al compromiso de la cuenta, puede participar en actividades diferentes a las de los usuarios habituales, como acceder a diferentes tipos de servicios en la nube o acceder desde una ubicación inusual.
Evasión de defensa Actividad de ransomware

 

Actividad del descargador

Actividad del troyano de acceso remoto

Los adversarios pueden intentar evitar la detección después de obtener credenciales y / o aprovechar y abusar de los procesos confiables para ocultar y enmascarar su malware.
Impacto Aprovisionamiento informático anómalo Con el aumento de las criptomonedas, el cryptojacking sigue siendo un negocio lucrativo para los adversarios.
Exfiltración Actividad de puerta trasera

 

Actividad de gusanos

Los adversarios pueden exfiltrar datos transfiriendo grandes cantidades de datos utilizando protocolos que se usan comúnmente dentro de un entorno de nube, como HTTP, HTTPS, FTP, etc.

 

Políticas basadas en anomalías en Prisma Cloud

Políticas basadas en anomalías en Prisma Cloud

  • Paso 2. Configurar los ajustes de detección de amenazas

Como la mayoría de los equipos de seguridad, Alex tiene una capacidad limitada para administrar alertas. Necesita la capacidad de lograr el equilibrio adecuado entre falsos positivos y falsos negativos para que se detecten las amenazas más críticas sin abrumar a su equipo con demasiadas alertas. Prisma Cloud le brinda ese fino nivel de control en el que puede optimizar dos aspectos diferentes de la detección de amenazas:

  1. Disposición de alertas: modificar el nivel de gravedad de las alertas que notificarán según la preferencia de Alex y su equipo.
  2. Umbral de entrenamiento: esto le permite a Alex elegir cuánto tiempo y cuántos eventos aprenderán los modelos de aprendizaje automático (ML) de detección de amenazas de Prisma Cloud antes de generar alertas. Cuanto más se necesite, más aprenderá el modelo de AA sobre el entorno y generará menos falsos positivos.

Tomemos, por ejemplo, la política de Actividad inusual del usuario. Alex elige "Agresivo: generar alertas para eventos con ubicación desconocida o servicio desconocido, o ambos" para Disposición de alertas porque la organización tiene estrictas barreras de seguridad para sus usuarios y necesitan detectar cualquier actividad de usuario que parezca remotamente sospechosa. Por otro lado, elige "Alto: modelos de compilación utilizando al menos 90 días y un mínimo de 300 eventos" para el umbral del modelo de entrenamiento porque les gustaría que el modelo de aprendizaje automático aprenda más sobre el comportamiento normal de los usuarios antes de que comience a generar alertas para minimizar el número de falsos positivos.


Configuración de actividad inusual del usuario en Prisma Cloud
Configuración de actividad inusual del usuario en Prisma Cloud

  • Paso 3. Crear una lista de confianza para evitar alertas sobre comportamientos legítimos

Algunos comportamientos legítimos pueden activar alertas de anomalías, como el análisis de vulnerabilidades o las herramientas PenTest. Alex agrega las direcciones IP que utilizan para la herramienta de escaneo de vulnerabilidades para la auditoría de seguridad interna a una nueva Lista de confianza para evitar que tales actividades generen alertas de seguridad.

Agregar a la lista de confianza en Prisma Cloud

Agregar a la lista de confianza en Prisma Cloud

  • Paso 4.  Enrutar alertas a los equipos y canales adecuados

El equipo de SecOps tiene diferentes miembros asignados para encargarse de las alertas de amenazas para diferentes unidades de negocio. Alex crea una regla de alerta para enviarse a sí mismo alertas relacionadas con el grupo de cuentas que administra el equipo de la aplicación de banca móvil, y crea otra regla de alerta para enviar a su equipo alertas relacionadas con el grupo de cuentas que administra la aplicación de negociación de acciones.

Algunos equipos de ingeniería prefieren monitorear todas las alertas en su plataforma de terceros existente, como Splunk. Alex se adapta a sus necesidades y configura integraciones externas en Prisma Cloud para esas herramientas de terceros.

Agregar integraciones de terceros

Agregar integraciones de terceros

  • Paso 5. Personalizar aún más los ajustes de configuración

Después de un tiempo, a Alex y su equipo les gustaría priorizar y centrarse en las alertas de mayor gravedad para la actividad inusual del usuario, por lo que Alex reduce el umbral de disposición de alertas a "Conservador: generar alertas para eventos con una ubicación inusual o un servicio inusual y una ubicación inusual", por lo que solo generará alertas sobre los problemas más graves.

Cambie fácilmente las preferencias de alerta de actividad inusual en Prisma Cloud

Cambia fácilmente las preferencias de alerta de actividad inusual en Prisma Cloud

  • Paso 6. Investigación de alertas
Después de poner en funcionamiento los algoritmos de aprendizaje automático para las políticas basadas en anomalías, Alex y su equipo reciben una alerta de "Actividad inusual del usuario" que muestra que ciertos usuarios realizaron actividades inusuales en una ubicación inusual (Mumbai, India) después del horario laboral.
Ejemplo de una alerta de actividad inusual del usuario
Ejemplo de una alerta de actividad inusual del usuario
 
Alex es consciente de que la organización no tiene una sucursal o equipo que trabaje en Mumbai, y rápidamente comienza a investigarlo utilizando las capacidades de investigación de incidentes dentro de Prisma Cloud. Primero revisa la Vista del mapa para determinar si las actividades inusuales se originan en múltiples ubicaciones geográficas.
 
Uso de la vista de mapa para detectar la ubicación geográfica de la amenaza detectada
Uso de la vista de mapa para detectar la ubicación geográfica de la amenaza detectada
 
Luego, aprovecha la vista de tendencias para revisar las actividades normales, así como las actividades anormales, e inmediatamente identifica que las actividades en la India son anómalas.
Vista de tendencias para monitorear amenazas en Prisma Cloud
Vista de tendencias para monitorear amenazas en Prisma Cloud
 
Su equipo descubre que el atacante obtuvo acceso a su entorno de nube y estaba tratando de conectarse a su servidor. Sin embargo, las capacidades de detección de amenazas de Prisma Cloud la alertaron rápidamente sobre las actividades inusuales, además de proporcionar información muy contextual. Alex y el equipo deshabilitan las cuentas de usuario afectadas para evitar que el atacante ejecute otras actividades maliciosas, como la exfiltración de datos o el cryptojacking.

Con Prisma Cloud, así como lo hizo Alex y su equipo tú también puedes monitorear e investigar continuamente cada alerta de detección de amenazas como la descrita, así como ajustar la Disposición de alertas, el Umbral de entrenamiento y las Listas de confianza para que puedas optimizar aún más la eficacia de la detección y minimizar los falsos positivos y falsos negativos. 

>>Conoce más sobre Prisma Cloud y cómo transformar la seguridad en la nube uniéndote al CTF edición especial Prisma Cloud<<

Palo Alto Networks y Grupo Smartekh te invitan a unirte al Captura the Flag edición exclusiva PRISMA CLOUD, dónde competirás contra oponentes para identificar problemas de seguridad en un entorno de nube pública y capturarás todos los territorios que puedas para demostrar que eres el mejor analista de seguridad en la nube.

La cita es el Jueves 10 de junio a las 10am, regístrate y pon a prueba tus habilidades para combatir futuras amenazas de la Nube pública con la ayuda de tu principal arma "PRISMA CLOUD" que será la clave para identificar los retos en este gran desafío.

Si necesitas más información o no tienes una estrategia para minimizar el riesgo de IoT/OT o quieres complementar la que ya tienes para cerrar los gaps existentes. ¡Habla con uno de nuestros especialistas!

Nueva llamada a la acción

Topics: Palo Alto Networks, cloud computing security, Viaje a la Nube, aumentar seguridad en nube, cloud security, una nube segura, Prisma Cloud 2.0


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?