5 detecções de alta fidelidade que eliminam a fadiga de alertas do SOC
As equipes de segurança lidam com um fluxo interminável de logs, e o volume por si só dificulta o reconhecimento e a priorização de ameaças por parte dos analistas.
Os agentes maliciosos tentam diferentes maneiras de invadir sua rede, seja por meio de serviços expostos, credenciais fracas ou configurações incorretas, e o ruído se acumula muito antes que um analista consiga identificar os sinais reais.
O que os analistas precisam é de um sistema de detecção que forneça um contexto claro para cada regra, refine a lógica quando necessário e emita alertas que reflitam as condições urgentes. Quando essa base é sólida, os alertas são mais precisos, relevantes e fáceis de investigar.
O mecanismo de detecção do Log360 Cloud foi reestruturado com esse objetivo em mente. Todo o conteúdo de detecção agora está centralizado, o que significa que os analistas podem alternar entre regras padrão, de anomalia e avançadas sem precisar mudar de visualização.
Nos bastidores, a lógica de detecção nova e atualizada chega por meio de um pipeline gerenciado na nuvem, garantindo que a cobertura acompanhe o comportamento emergente. O catálogo abrange mais de 2.000 regras predefinidas que cobrem atividades internas, comportamento de malware, ameaças externas e uso indevido de identidade.
Cada regra inclui o contexto necessário para entender seu funcionamento na prática, como gravidade, mapeamentos ATT&CK, modo de execução, tags e histórico de detecção. Os analistas podem refinar ainda mais essas regras usando um construtor guiado ou uma Gramática de Query quando precisarem de lógica precisa. As exceções ajudam a eliminar ruídos que não se aplicam à configuração, e a filtragem de objetos do Active Directory mantém o foco em usuários, grupos e UOs de alto valor. Os insights de ajuste destacam oportunidades de otimização, e os relatórios de detecção agendados facilitam o acompanhamento de tendências de longo prazo.
Essas melhorias foram projetadas para oferecer aos analistas maior controle e visibilidade ao investigar atividades em seu ambiente. As seções a seguir descrevem como isso se aplica em cinco casos de uso de alto impacto.
Detectar ataques reais, não apenas atividades
Viagens impossíveis
Viagens impossíveis são um sinal comum de que uma conta de usuário pode estar em mãos erradas. Um fluxo típico começa com um invasor obtendo credenciais válidas por meio de phishing, reutilização de senhas ou um serviço de terceiros comprometido.
Uma vez com acesso, ele pode tentar fazer login de uma região ou país diferente. Quase ao mesmo tempo, um usuário legítimo também faz login. Isso resulta na conta mostrando atividade de dois locais distantes entre os quais nenhuma pessoa conseguiria viajar fisicamente.
O Log360 Cloud correlaciona a atividade de login do Microsoft 365, Azure AD, Active Directory e registros de VPN para revelar esse padrão. Quando dois logins bem-sucedidos ocorrem em locais geograficamente distantes em um curto período, o mecanismo sinaliza isso como uma anomalia.
Ele analisa os registros de login, as alterações de endereço IP e o comportamento da autenticação multifator (MFA) para ajudar a confirmar se a atividade corresponde ao uso normal ou sugere uma possível violação de segurança. Os analistas podem ver a origem dos logins, a distância entre eles e como a plataforma de identidade lidou com a autenticação, o que facilita a identificação de contas comprometidas antes que sejam usadas indevidamente.
Identificação de padrões de ransomware
O ransomware não começa com a criptografia. Os estágios iniciais envolvem leituras, gravações e modificações rápidas de arquivos, enquanto o malware examina diretórios, prepara pastas de teste e verifica o acesso. Essas ações iniciais podem ocorrer em minutos e, se não forem detectadas, o impacto pode se intensificar, resultando em criptografia em massa, indisponibilidade do sistema e custos elevados de recuperação.
O Log360 Cloud monitora eventos de acesso a arquivos do Windows para detectar esses sinais precoces. Ele busca picos incomuns de leitura, gravação, exclusão ou modificação e os compara com padrões de comportamento estabelecidos. Quando detecta atividades que se movem rapidamente entre diretórios ou que correspondem a padrões comuns em ambientes de preparação de ransomware, ele sinaliza o comportamento como suspeito. A biblioteca de regras já inclui padrões relacionados a ransomware, portanto, os analistas só precisam ajustá-las para se adequarem à escala e às rotinas de seu ambiente.
Atividade de comando e controle
A atividade de C2 é um dos sinais mais fortes de que um atacante ultrapassou o acesso inicial e está tentando manter o controle. O padrão geralmente começa com um servidor comprometido, seguido por uma conexão de saída para a infraestrutura controlada pelo atacante.
Uma vez estabelecida essa conexão, o host começa a enviar sinais (beacos) em intervalos regulares e fica pronto para receber comandos remotos. Nesse ponto, o atacante pode manter a persistência, mover-se lateralmente ou preparar-se para a exfiltração de dados.
O Log360 Cloud reúne esses sinais correlacionando a execução de processos suspeitos, processos filhos desconhecidos e artefatos de persistência no host com conexões de saída periódicas em logs de rede. Ele busca por IPs ou portas externas incomuns, tráfego semelhante a beacons e atividades de saída criptografadas que não correspondem ao comportamento normal do servidor. Quando esses elementos se alinham, a detecção destaca a possibilidade de um canal C2 ativo.
Em seguida, os analistas podem identificar o host afetado, revisar os destinos com os quais ele estava entrando em contato, examinar a linha do tempo da atividade e determinar se a violação se espalhou. A partir daí, a resposta recomendada é clara: isolar o sistema, bloquear a infraestrutura de comando e controle (C2), remover quaisquer mecanismos de persistência e iniciar uma resposta completa ao incidente.
Escalação de privilégios no Windows e no Linux
A escalação de privilégios é uma etapa crítica em muitos ataques. Um agente malicioso que invade uma máquina com acesso limitado tentará elevar seus privilégios para acessar dados protegidos, implantar ferramentas ou se movimentar lateralmente. No Windows e no Linux, essas tentativas deixam sinais previsíveis, como edições anormais no registro, criação de processos suspeitos, execução de PowerShell ou atividade incomum com o comando sudo. Se não forem detectadas precocemente, o invasor obtém controle administrativo e amplia o alcance do ataque.
O Log360 Cloud concentra-se nesses tipos de eventos estabelecidos e os correlaciona com a atividade recente do usuário para destacar tentativas de escalonamento que não se encaixam no comportamento normal. Modificações no registro do Windows, eventos de criação de processos e execuções do PowerShell fornecem uma visibilidade robusta, enquanto os logs de sudo e autenticação do Linux completam o quadro. Os metadados das regras incluem o mapeamento MITRE ATT&CK, permitindo que os analistas compreendam rapidamente a tática, contextualizem a atividade e avaliem seu risco.
Varredura de portas em um servidor Windows crítico
A varredura de portas é uma etapa comum de reconhecimento quando um invasor consegue entrar na rede. Ele visa um servidor Windows crítico, probe com múltiplas portas e mapeia os serviços que respondem. Isso o ajuda a identificar serviços vulneráveis e prepara o terreno para movimentação lateral ou comprometimento mais profundo.
O Log360 Cloud detecta esse comportamento correlacionando os logs do Firewall do Windows (WFP) com padrões de rede que mostram tentativas de entrada rápidas. O ID de evento 5157, que registra tentativas de conexão bloqueadas no Firewall do Windows, é especialmente útil quando um único endereço IP de origem atinge várias portas de destino em rápida sucessão. Quando esse volume ou padrão de tráfego ultrapassa a linha de base do servidor, o mecanismo o sinaliza como uma possível varredura.
Os analistas podem identificar rapidamente o endereço IP, verificar se a atividade foi legítima, analisar as portas visadas e procurar sinais de exploração subsequente. Se for maliciosa, as próximas etapas são claras: bloquear o IP de origem, colocar o host de varredura em quarentena, reforçar a segurança dos serviços expostos e aumentar o monitoramento de qualquer atividade pós-varredura.
Detecção que não desperdiça o tempo do analista
A qualidade da detecção não se resume à quantidade de regras implementadas. Ela depende da precisão com que interpretam o comportamento e da confiança com que os analistas podem agir.
A arquitetura de detecção reformulada do Log360 Cloud combina gerenciamento centralizado de regras, conteúdo continuamente atualizado fornecido pela nuvem e metadados contextuais enriquecidos para reduzir falsos positivos e, ao mesmo tempo, fortalecer a cobertura. O resultado é menos distrações, investigações mais claras e detecções que refletem o risco real — e não apenas a atividade bruta.
Se sua equipe ainda está gastando tempo interpretando ruídos em vez de investigar ameaças, talvez seja hora de experimentar uma abordagem diferente.
Leia o artigo original aqui.
Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.
Importante: a ManageEngine não trabalha com distribuidores no Brasil.