Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы получаете как обнаружение, так и предотвращение в простом решении брандмауэра Azure для Microsoft Sentinel.
Безопасность — это постоянный баланс между упреждающей и реактивной защитой. Они оба одинаково важны, и ни один из них не может быть проигнорирован. Эффективная защита вашей организации означает постоянную оптимизацию как предотвращения, так и обнаружения.
Сочетая предотвращение и обнаружение, вы можете предотвращать сложные угрозы, сохраняя подход на основе предположения о взломе для обнаружения и быстрого реагирования на кибератаки.
Предпосылки
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Ключевые возможности
Интеграция Брандмауэра Azure с Microsoft Sentinel обеспечивает следующие возможности:
- Мониторинг и визуализация действий брандмауэра Azure.
- Обнаружение угроз и применение возможностей исследования с помощью ИИ.
- Автоматизация ответов и корреляции с другими источниками.
Весь опыт представлен в качестве решения на платформе Microsoft Sentinel Marketplace, что означает, что его можно развернуть относительно легко.
Развертывание и включение решения брандмауэра Azure для Microsoft Sentinel
Решение можно быстро развернуть из центра контента. В рабочей области Microsoft Sentinel выберите "Аналитика" и " Дополнительно" в центре контента. Найдите и выберите брандмауэр Azure , а затем нажмите кнопку "Установить".
После установки выберите «Управление», выполните все действия мастера, пройдите проверку и создайте решение. Сделав несколько выборов, все содержимое, включая соединители, обнаружения, рабочие книги и сценарии, будет развернуто в вашей рабочей области Microsoft Sentinel.
Мониторинг и визуализация действий брандмауэра Azure
Рабочая книга брандмауэра Azure позволяет визуализировать события брандмауэра Azure. С помощью этой книги можно:
- Узнайте о правилах приложения и сети.
- См. статистику действий брандмауэра по URL-адресам, портам и адресам.
- Фильтрация по брандмауэру и группе ресурсов.
- Динамически фильтруйте по категориям с удобочитаемыми наборами данных при исследовании проблемы в логах.
Книга предоставляет одну панель мониторинга для текущего мониторинга действий брандмауэра. Когда речь идет об обнаружении угроз, расследовании и реагировании, решение брандмауэра Azure также предоставляет встроенные возможности обнаружения и охоты.
Обнаружение угроз и использование возможностей исследования с помощью ИИ
Правила обнаружения решения предоставляют Microsoft Sentinel надежный способ анализа сигналов брандмауэра Azure и обнаружения трафика, отображающего шаблоны вредоносных действий, перемещаемых по сети. Такой подход позволяет быстро реагировать на угрозы и устранять их.
Правила обнаружения сегментируют этапы атаки, которые злоумышленник проводит в решении брандмауэра на основе платформы MITRE ATT&CK . Рамка MITRE представляет собой ряд шагов, отслеживающих этапы кибератаки, с ранних этапов разведки до эксфильтрации данных. Платформа помогает защитникам понимать и бороться с программами-шантажами, нарушениями безопасности и расширенными атаками.
Решение включает в себя обнаружение распространенных сценариев, которые злоумышленник может использовать в рамках атаки, охватывая этап обнаружения (получение знаний о системе и внутренней сети) через этап командной и управления (C2) (взаимодействие с скомпрометированных системами для управления ими) до этапа хищения (злоумышленник пытается украсть данные из организации).
| Правило обнаружения | Что оно делает? | Что это означает? |
|---|---|---|
| Сканирование портов | Определяет исходный IP-адрес, проверяющий несколько открытых портов в брандмауэре Azure. | Вредоносное сканирование портов злоумышленником, пытающееся выявить открытые порты в организации, которые могут быть скомпрометированы для первоначального доступа. |
| Очистка портов | Определяет исходный IP-адрес, который сканирует одни и те же открытые порты на различных IP-адресах через брандмауэр Azure. | Вредоносное сканирование порта злоумышленником пытается выявить IP-адреса с определенными уязвимыми портами, открытыми в организации. |
| Аномальный уровень отказов для IP-адреса источника | Определяет ненормальную частоту запрета для определенного исходного IP-адреса целевого IP-адреса на основе машинного обучения, выполняемого в течение заданного периода. | Потенциальный кража, первоначальный доступ или C2, когда злоумышленник пытается использовать ту же уязвимость на компьютерах в организации, но правила брандмауэра Azure блокируют его. |
| Ненормальный порт к протоколу | Определяет связь для известного протокола по нестандартному порту на основе машинного обучения, выполненного в течение периода активности. | Вредоносное взаимодействие (C2) или кража злоумышленниками, пытающимися обмениваться данными через известные порты (SSH, HTTP), но не используйте известные заголовки протокола, соответствующие номеру порта. |
| Несколько источников, затронутых одним и тем же назначением TI | Определяет несколько компьютеров, которые пытаются связаться с тем же местом назначения, заблокированным аналитикой угроз (TI) в брандмауэре Azure. | Атака на организацию той же группой, которая пытается вывести данные из неё. |
Запросы поиска
Поисковые запросы — это средство для поиска угроз в сети организации либо после возникновения инцидента, либо упреждающего обнаружения новых или неизвестных атак. Для этого исследователи безопасности смотрят на несколько индикаторов компрометации (IOCs). Встроенные запросы поиска Microsoft Sentinel в решении брандмауэра Azure предоставляют исследователям безопасности средства, необходимые для поиска действий с высоким воздействием из журналов брандмауэра. Ниже приведено несколько примеров.
| Запрос охоты | Что оно делает? | Что это означает? |
|---|---|---|
| При первом подключении исходного IP-адреса к целевому порту | Помогает определить распространенные признаки атаки (IOA), когда новый узел или IP-адрес пытается связаться с узлом назначения через определенный порт. | На основе анализа регулярного трафика в течение указанного периода. |
| При первом подключении IP-адреса источника к пункту назначения | Помогает определить IOA, когда вредоносная связь устанавливается впервые с компьютеров, которые ранее никогда не обращались к этому узлу. | На основе анализа регулярного трафика в течение указанного периода. |
| Исходный IP-адрес аномально устанавливает соединения с несколькими конечными точками. | Определяет исходный IP-адрес, который необычно подключается к нескольким конечным адресам. | Указывает на первоначальные попытки доступа злоумышленников, пытающихся перейти между различными компьютерами в организации, эксплуатируя путь бокового перемещения или одну и ту же уязвимость на разных компьютерах, чтобы найти уязвимые компьютеры для доступа. |
| Необычный порт для организации | Определяет ненормальные порты, используемые в сети организации. | Злоумышленник может обойти отслеживаемые порты и отправлять данные через необычные порты. Это действие позволяет злоумышленникам избежать обнаружения из обычных систем обнаружения. |
| Необычное подключение через порт к IP-адресу назначения | Определяет ненормальные порты, используемые компьютерами для подключения к целевому IP-адресу. | Злоумышленник может обойти отслеживаемые порты и отправлять данные через необычные порты. Это действие также может указывать на атаку на эксфильтрацию данных с машин в организации с использованием порта, который обычно не используется на машине для связи. |
Автоматизация реагирования и корреляции с другими источниками
Брандмауэр Azure также включает сборники схем Microsoft Sentinel, которые можно использовать для автоматизации реагирования на угрозы. Например, предположим, что брандмауэр регистрирует событие, в котором определенное устройство в сети пытается взаимодействовать с Интернетом с помощью протокола HTTP через нестандартный TCP-порт. Это действие активирует обнаружение в Microsoft Sentinel. Сборник схем автоматизирует уведомление группы по операциям безопасности через Microsoft Teams, а аналитики по безопасности могут блокировать исходный IP-адрес устройства одним выбором. Это действие предотвращает доступ к Интернету до тех пор, пока не будет завершено расследование. Плейбуки делают этот процесс гораздо более эффективным и упорядоченным.
Пример реального мира
Вот как выглядит полностью интегрированное решение в реальном мире.
Атака и начальная профилактика брандмауэром Azure
Представитель по продажам в компании случайно открывает фишинговое письмо и открывает PDF-файл, содержащий вредоносные программы. Вредоносные программы немедленно пытаются подключиться к вредоносному веб-сайту, но брандмауэр Azure блокирует его. Брандмауэр обнаружил домен с помощью веб-канала аналитики угроз Майкрософт, который он использует.
Ответ
Попытка подключения активирует обнаружение в Microsoft Sentinel и запускает процесс автоматизации сборников схем, чтобы уведомить команду по операциям безопасности через канал Teams. Там аналитик может заблокировать взаимодействие компьютера с Интернетом. Затем группа по операциям безопасности уведомляет ИТ-отдел, который удаляет вредоносные программы с компьютера представителя по продажам. Тем не менее, принимая проактивный подход и изучая вопрос более глубоко, исследователь безопасности применяет запросы поиска брандмауэра Azure и запускает запрос исходный IP-адрес ненормально подключается к нескольким пунктам назначения. Это показывает, что вредоносные программы на зараженном компьютере пытались взаимодействовать с несколькими другими устройствами в более широкой сети и пытались получить доступ к нескольким из них. Одна из этих попыток доступа завершилась успешно, так как не было надлежащей сегментации сети, чтобы предотвратить боковое перемещение в сети, и новое устройство было известной уязвимостью, которую вредоносные программы использовали для его заражения.
Результат
Исследователь безопасности удалил вредоносные программы с нового устройства, завершил устранение атаки и обнаружил слабость сети в процессе.
Дальнейшие действия
- Дополнительные сведения о Microsoft Sentinel.
- Безопасность Майкрософт.