Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется к этой рекомендации по контрольным спискам безопасности Azure Well-Architected Framework:
| SE:10 | Реализуйте целостную стратегию мониторинга, которая зависит от современных механизмов обнаружения угроз, которые можно интегрировать с платформой. Механизмы должны надежно оповещать о триаже и отправлять сигналы в существующие процессы SecOps. |
|---|
В этом руководстве описаны рекомендации по мониторингу и обнаружению угроз. Мониторинг — это основной процесс получения сведений о событиях, которые уже произошли. Мониторинг безопасности — это практика сбора информации на разных высотах рабочей нагрузки (инфраструктуры, приложений, операций) для получения осведомленности о подозрительных действиях. Цель заключается в прогнозировании инцидентов и изучении прошлых событий. Данные мониторинга предоставляют основу после инцидента анализа того, что произошло для реагирования на инциденты и судебно-медицинских расследований.
Мониторинг — это подход к операционному превосходству, применяемый во всех Well-Architected платформах. Это руководство содержит рекомендации только с точки зрения безопасности. Общие понятия мониторинга, такие как инструментирование кода, сбор данных и анализ, не являются рамками этого руководства. Сведения о основных понятиях мониторинга см. в рекомендациях по проектированию и созданию платформы наблюдаемости.
Определения
| Срок | Definition |
|---|---|
| Журналы аудита | Запись действий в системе. |
| Сведения о безопасности и управление событиями (SIEM) | Подход, который использует встроенные возможности обнаружения угроз и аналитики на основе данных, агрегированных из нескольких источников. |
| Обнаружение угроз | Стратегия обнаружения отклонений от ожидаемых действий с помощью собранных, проанализированных и коррелированных данных. |
| Аналитика угроз | Стратегия интерпретации данных обнаружения угроз для обнаружения подозрительных действий или угроз путем изучения шаблонов. |
| Предотвращение угроз | Средства управления безопасностью, размещенные в рабочей нагрузке на различных высотах для защиты своих ресурсов. |
Основной целью мониторинга безопасности является обнаружение угроз. Основная цель заключается в предотвращении потенциальных нарушений безопасности и поддержании безопасной среды. Тем не менее, важно признать, что не все угрозы могут быть предварительно заблокированы. В таких случаях мониторинг также служит механизмом для выявления причины инцидента безопасности, который произошел, несмотря на усилия по предотвращению.
Мониторинг можно использовать с различных перспектив:
Следите за различными высотами. Наблюдение за различными высотами — это процесс получения сведений о потоках пользователей, доступе к данным, удостоверении, сети и даже операционной системе. Каждая из этих областей предоставляет уникальные аналитические сведения, которые помогают определить отклонения от ожидаемого поведения, установленного в отношении базового плана безопасности. И наоборот, непрерывный мониторинг системы и приложений с течением времени может помочь установить это базовое состояние. Например, обычно в системе удостоверений в систему удостоверений может отображаться около 1000 попыток входа. Если мониторинг обнаруживает всплеск попыток входа в 50 000 попыток входа в течение короткого периода, злоумышленник может попытаться получить доступ к вашей системе.
Отслеживайте различные области влияния. Важно наблюдать за приложением и платформой. Предположим, что пользователь приложения случайно получает повышенные привилегии или возникает нарушение безопасности. Если пользователь выполняет действия вне указанной области, влияние может быть ограничено действиями, которые могут выполнять другие пользователи.
Однако если внутренняя сущность компрометирует базу данных, то степень потенциального ущерба не определена.
Если компрометация возникает на стороне ресурса Azure, влияние может быть глобальным, затрагивая все сущности, взаимодействующие с ресурсом.
Радиус взрыва или область воздействия может значительно отличаться в зависимости от того, какие из этих сценариев возникают.
Используйте специализированные средства мониторинга. Важно инвестировать в специализированные средства , которые могут непрерывно проверять аномальное поведение, которое может указывать на атаку. Большинство этих средств имеют возможности аналитики угроз , которые могут выполнять прогнозный анализ на основе большого объема данных и известных угроз. Большинство средств не являются бессерверными и включают глубокое понимание телеметрии в контексте безопасности.
Средства должны быть интегрированы с платформой или по крайней мере с учетом платформы, чтобы получить глубокие сигналы от платформы и сделать прогнозы с высокой точностью. Они должны иметь возможность своевременно создавать оповещения с достаточной информацией для проведения надлежащей обработки. Использование слишком большого количества разнообразных средств может привести к сложности.
Используйте мониторинг для реагирования на инциденты. Агрегированные данные, преобразованные в эффективную аналитику, позволяют быстро и эффективно реагировать на инциденты . Мониторинг помогает с действиями после инцидента. Цель состоит в том, чтобы собрать достаточно данных для анализа и понимания того, что произошло. Процесс мониторинга фиксирует информацию о прошлых событиях для повышения реактивности возможностей и потенциально прогнозирования будущих инцидентов.
В следующих разделах приведены рекомендации, которые включают предыдущие перспективы мониторинга.
Сбор данных для хранения следа действий
Цель заключается в обеспечении комплексного аудита событий, которые являются значительными с точки зрения безопасности. Ведение журнала является наиболее распространенным способом записи шаблонов доступа. Ведение журнала должно выполняться для приложения и платформы.
Для следа аудита необходимо установить, когда и кто связан с действиями. Необходимо определить определенные интервалы времени при выполнении действий. Сделайте эту оценку в моделировании угроз. Чтобы противостоять угрозе отказа, следует установить надежные системы ведения журнала и аудита, которые приводят к записи действий и транзакций.
В следующих разделах описываются варианты использования некоторых распространенных высот рабочей нагрузки.
Потоки пользователей приложения
Приложение должно быть разработано для обеспечения видимости среды выполнения при возникновении событий. Определите критические точки в приложении и установите ведение журнала для этих точек. Например, когда пользователь входит в приложение, фиксирует удостоверение пользователя, исходное расположение и другие соответствующие сведения. Важно признать любую эскалацию привилегий пользователя, действия, выполняемые пользователем, и получать доступ к конфиденциальной информации в безопасном хранилище данных. Следите за действиями для пользователя и сеанса пользователя.
Чтобы упростить это отслеживание, код следует инструментировать с помощью структурированного ведения журнала. Это позволяет легко и унифицировать запросы и фильтрацию журналов.
Это важно
Необходимо применить ответственное ведение журнала для обеспечения конфиденциальности и целостности системы. Секреты и конфиденциальные данные не должны отображаться в журналах. Обратите внимание на утечку персональных данных и других требований к соответствию требованиям при записи этих данных журнала.
Мониторинг удостоверений и доступа
Сохраняйте тщательную запись шаблонов доступа для приложения и изменения ресурсов платформы. Имеют надежные журналы действий и механизмы обнаружения угроз, особенно для действий, связанных с удостоверениями, так как злоумышленники часто пытаются управлять удостоверениями, чтобы получить несанкционированный доступ.
Реализуйте комплексное ведение журнала с помощью всех доступных точек данных. Например, включите IP-адрес клиента, чтобы различать регулярные действия пользователей и потенциальные угрозы от непредвиденных расположений. Все события ведения журнала должны быть заметками времени сервера.
Записывайте все действия по доступу к ресурсам, записывая тех, кто делает то и когда они делают это. Экземпляры эскалации привилегий — это важная точка данных, которая должна быть зарегистрирована. Действия, связанные с созданием или удалением учетной записи приложением, также должны быть записаны. Эта рекомендация распространяется на секреты приложений. Отслеживайте, кто обращается к секретам и когда они поворачиваются.
Хотя ведение журнала имеет важное значение, запись сбоев необходима с точки зрения безопасности. Задокументируйте любые нарушения, такие как пользователь, пытающийся выполнить действие, но столкнувшись с ошибкой авторизации, попытки доступа к несуществующим ресурсам и другие действия, которые кажутся подозрительными.
Мониторинг сетей
Отслеживая сетевые пакеты и их источники, назначения и структуры, вы получаете представление о шаблонах доступа на уровне сети.
Дизайн сегментации должен включить точки наблюдения на границах , чтобы отслеживать, что пересекает их и регистрировать эти данные. Например, отслеживайте подсети с группами безопасности сети, которые создают журналы потоков. Также отслеживайте журналы брандмауэра, показывающие потоки, которые были разрешены или отклонены.
Существуют журналы доступа для входящих запросов на подключение. Эти журналы записывают исходные IP-адреса, инициирующие запросы, тип запроса (GET, POST) и все остальные сведения, которые входят в состав запросов.
Запись потоков DNS является значительным требованием для многих организаций. Например, журналы DNS могут помочь определить, какой пользователь или устройство инициировали определенный DNS-запрос. Связав действия DNS с журналами проверки подлинности пользователей и устройств, вы можете отслеживать действия с отдельными клиентами. Эта ответственность часто распространяется на группу рабочей нагрузки, особенно если они развертывают все, что делает dns-запросы частью своей операции. Анализ трафика DNS является ключевым аспектом наблюдения за безопасностью платформы.
Важно отслеживать непредвиденные DNS-запросы или DNS-запросы, направленные на известные конечные точки команд и управления.
Компромисс. Ведение журнала всех сетевых действий может привести к большому количеству данных. Каждый запрос из уровня 3 может быть записан в журнале потоков, включая каждую транзакцию, пересекающую границу подсети. К сожалению, невозможно записать только неблагоприятные события, так как они могут быть идентифицированы только после их возникновения. Принимать стратегические решения о типе событий, которые необходимо захватить и как долго их хранить. Если вы не осторожны, управление данными может быть подавляющим. Существует также компромисс по затратам на хранение этих данных.
Из-за компромиссов следует учитывать, достаточно ли преимущество мониторинга сети рабочей нагрузки, чтобы оправдать затраты. Если у вас есть решение веб-приложения с большим объемом запросов и ваша система использует управляемые ресурсы Azure, стоимость может перевесить преимущества. С другой стороны, если у вас есть решение, предназначенное для использования виртуальных машин с различными портами и приложениями, может быть важно записать и проанализировать сетевые журналы.
Запись системных изменений
Чтобы обеспечить целостность системы, необходимо иметь точную и up-toзапись состояния системы. При наличии изменений эту запись можно использовать для оперативного решения любых возникающих проблем.
Процессы сборки также должны выдавать данные телеметрии. Понимание контекста безопасности событий является ключевым. Зная, что активировал процесс сборки, который активировал его, и когда он был активирован, может предоставить ценные аналитические сведения.
Отслеживайте , когда ресурсы создаются и когда они удаляются. Эти сведения должны быть извлечены из платформы. Эта информация содержит ценные аналитические сведения об управлении ресурсами и подотчетности.
Мониторинг смещения в конфигурации ресурсов. Задокументируйте любое изменение существующего ресурса. Кроме того, следите за изменениями, которые не выполняются в рамках развертывания в парке ресурсов. Журналы должны записывать особенности изменения и точное время его возникновения.
У вас есть комплексное представление, с точки зрения исправления, о том, является ли система up-to-date и безопасно. Отслеживайте процессы регулярного обновления , чтобы убедиться, что они выполнены по мере планирования. Процесс исправления безопасности, который не завершен, должен считаться уязвимостью. Вы также должны поддерживать инвентаризацию, которая записывает уровни исправлений и любые другие необходимые сведения.
Обнаружение изменений также относится к операционной системе. Это предполагает отслеживание того, добавляются ли службы или отключаются. Он также включает мониторинг для добавления новых пользователей в систему. Существуют средства, предназначенные для целевой операционной системы. Они помогают в мониторинге без контекста в том смысле, что они не предназначены для функциональных возможностей рабочей нагрузки. Например, мониторинг целостности файлов — это критическое средство, позволяющее отслеживать изменения в системных файлах.
Вы должны настроить оповещения для этих изменений, особенно если их часто не ожидается.
Это важно
При развертывании в рабочей среде убедитесь, что оповещения настроены для перехвата аномальных действий, обнаруженных в ресурсах приложения и процессе сборки.
В планах тестирования включите проверку ведения журнала и оповещения в качестве приоритетных тестовых вариантов.
Хранение, агрегирования и анализа данных
Данные, собранные из этих действий мониторинга, должны храниться в приемниках данных, где их можно тщательно анализировать, нормализованы и сопоставлять. Данные безопасности должны сохраняться вне собственных хранилищ данных системы. Мониторинг приемников, локализованных или центральных, должен выходить из источников данных. Приемники не могут быть временными, так как приемники являются источником для систем обнаружения вторжений.
Журналы сети могут быть подробными и занять хранение. Изучите различные уровни в системах хранения. Журналы могут естественно переходить к более холодному хранилищу с течением времени. Этот подход является полезным, так как старые журналы потоков обычно не используются активно и требуются только по требованию. Этот метод обеспечивает эффективное управление хранилищем, обеспечивая доступ к историческим данным при необходимости.
Потоки рабочей нагрузки обычно являются составными из нескольких источников ведения журнала. Данные мониторинга должны быть интеллектуально проанализированы во всех этих источниках. Например, брандмауэр будет блокировать только трафик, который достигает его. Если у вас есть группа безопасности сети, которая уже заблокировала определенный трафик, этот трафик не отображается брандмауэру. Чтобы восстановить последовательность событий, необходимо агрегировать данные из всех компонентов, которые находятся в потоке, а затем агрегировать данные из всех потоков. Эти данные особенно полезны в сценарии реагирования на инциденты после инцидента при попытке понять, что произошло. Точное время хранения является важным. Для обеспечения безопасности все системы должны использовать источник времени сети, чтобы они всегда синхронизированы.
Централизованное обнаружение угроз с коррелируемыми журналами
Вы можете использовать систему, например сведения о безопасности и управление событиями (SIEM), для консолидации данных безопасности в центральном расположении , где его можно сопоставить между различными службами. Эти системы имеют встроенные механизмы обнаружения угроз . Они могут подключаться к внешним каналам для получения данных аналитики угроз. Например, корпорация Майкрософт публикует данные аналитики угроз, которые можно использовать. Вы также можете купить каналы аналитики угроз от других поставщиков, таких как Anomali и FireEye. Эти каналы могут предоставлять ценные аналитические сведения и повысить уровень безопасности. Сведения об угрозах от Корпорации Майкрософт см. в статье "Предварительная оценка безопасности".
Система SIEM может создавать оповещения на основе коррелированных и нормализованных данных. Эти оповещения являются значительным ресурсом во время процесса реагирования на инциденты.
Системы SIEM обычно управляются центральными командами организации. Если у вашей организации нет одного, рассмотрите возможность его пропаганды. Это может облегчить бремя ручного анализа журналов и корреляции, чтобы обеспечить более эффективное и эффективное управление безопасностью.
Некоторые экономичные варианты предоставляются корпорацией Майкрософт. Многие продукты Microsoft Defender предоставляют функции оповещения системы SIEM, но без функции агрегирования данных.
Объединение нескольких небольших средств позволяет эмулировать некоторые функции системы SIEM. Тем не менее, необходимо знать, что эти решения мешфта могут не выполнять анализ корреляции. Эти альтернативные варианты могут быть полезны, но они могут не полностью заменить функциональные возможности выделенной системы SIEM.
Обнаружение злоупотреблений
Будьте упреждающим в обнаружении угроз и будьте бдительными для признаков злоупотреблений, таких как атаки подбора удостоверений на компонент SSH или конечную точку RDP. Хотя внешние угрозы могут создавать много шума, особенно если приложение предоставляется в Интернете, внутренние угрозы часто вызывают большую озабоченность. Непредвиденная атака методом подбора из доверенного источника сети или непреднамеренной неправильной настройки, например, должна быть немедленно расследована.
Следите за вашими практиками закалки. Мониторинг не является заменой упреждающего повышения защиты среды. Большая область поверхности подвержена более большим атакам. Ужесточение контроля столько, сколько практики. Обнаружение и отключение неиспользуемых учетных записей, удаление неиспользуемых портов и использование брандмауэра веб-приложения, например. Дополнительные сведения о методах защиты см. в рекомендациях по защите системы безопасности.
Обнаружение на основе подписей может подробно проверить систему. Он включает поиск признаков или корреляций между действиями, которые могут указывать на потенциальную атаку. Механизм обнаружения может определить определенные характеристики, указывающие на конкретный тип атаки. Возможно, не всегда можно напрямую обнаруживать механизм управления атаками. Однако часто существуют указания или шаблоны, связанные с определенным процессом управления и командой. Например, атака может быть указана определенной скоростью потока с точки зрения запроса или часто обращаться к доменам с определенными концами.
Определите аномальные шаблоны доступа пользователей , чтобы определить и исследовать отклонения от ожидаемых шаблонов. Это включает сравнение текущего поведения пользователя с прошлым поведением, чтобы обнаружить аномалии. Хотя выполнение этой задачи может оказаться невозможным вручную, вы можете использовать средства аналитики угроз для этого. Инвестируйте в средства аналитики поведения пользователей и сущностей (UEBA), которые собирают поведение пользователя из данных мониторинга и анализируют его. Эти средства часто могут выполнять прогнозный анализ, который сопоставляет подозрительное поведение с потенциальными типами атак.
Обнаружение угроз во время этапов предварительного развертывания и после развертывания. На этапе предварительного развертывания включите сканирование уязвимостей в конвейеры и выполните необходимые действия на основе результатов. После развертывания продолжайте выполнять сканирование уязвимостей. Вы можете использовать такие инструменты, как Microsoft Defender для контейнеров, которые сканируют образы контейнеров. Включите результаты в собранные данные. Сведения о методах безопасной разработки см. в рекомендациях по использованию безопасных методов развертывания.
Воспользуйтесь преимуществами механизмов и мер обнаружения, предоставляемых платформой. Например, брандмауэр Azure может анализировать трафик и блокировать подключения к ненадежным назначениям. Azure также предоставляет способы обнаружения и защиты от распределенных атак типа "отказ в обслуживании" (DDoS).
Упрощение функций Azure
Azure Monitor обеспечивает наблюдаемость во всей среде. Без настройки вы автоматически получаете метрики платформы, журналы действий и журналы диагностики из большинства ресурсов Azure. Журналы действий предоставляют подробные диагностические и аудитные сведения.
Замечание
Журналы платформы недоступны на неопределенный срок. Их необходимо сохранить, чтобы их можно было просмотреть позже для целей аудита или автономного анализа. Используйте учетные записи хранения Azure для долгосрочного или архивного хранилища. В Azure Monitor укажите период хранения при включении параметров диагностики для ресурсов.
Настройте оповещения на основе предопределенных или пользовательских метрик и журналов для получения уведомлений при обнаружении определенных событий или аномалий, связанных с безопасностью.
Дополнительные сведения см. в документации по Azure Monitor.
Microsoft Defender для облака предоставляет встроенные возможности для обнаружения угроз. Он работает с собранными данными и анализирует журналы. Так как он знает о типах созданных журналов, он может использовать встроенные правила для принятия обоснованных решений. Например, он проверяет список потенциально скомпрометированных IP-адресов и создает оповещения.
Включите встроенные службы защиты от угроз для ресурсов Azure. Например, включите ресурсы Microsoft Defender для Azure, такие как виртуальные машины, базы данных и контейнеры, для обнаружения и защиты от известных угроз.
Defender для облака предоставляет возможности защиты облачных рабочих нагрузок (CWPP) для обнаружения угроз всех ресурсов рабочей нагрузки.
Дополнительные сведения см. в разделе "Что такое Microsoft Defender для облака?".
Оповещения, созданные Defender, также могут передаваться в системы SIEM. Microsoft Sentinel — это собственное предложение. Он использует ИИ и машинное обучение для обнаружения и реагирования на угрозы безопасности в режиме реального времени. Он предоставляет централизованное представление данных безопасности и упрощает упреждающее поиск угроз и расследование.
Дополнительные сведения см. в статье "Что такое Microsoft Sentinel?".
Microsoft Sentinel также может использовать каналы аналитики угроз из различных источников. Дополнительные сведения см. в статье об интеграции аналитики угроз в Microsoft Sentinel.
Microsoft Sentinel может анализировать поведение пользователей из данных мониторинга. Дополнительные сведения см. в статье "Определение расширенных угроз" с помощью аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel.
Defender и Microsoft Sentinel работают вместе, несмотря на некоторые перекрытия функций. Эта совместная работа повышает общую безопасность, помогая обеспечить комплексное обнаружение угроз и реагирование.
Воспользуйтесь центром непрерывности бизнес-процессов Azure , чтобы выявить пробелы в вашем активе непрерывности бизнес-процессов и защититься от угроз, таких как атаки программ-шантажистов, вредоносные действия и инциденты с администратором-изгоев. Дополнительные сведения см. в разделе "Что такое Центр непрерывности бизнес-процессов Azure?".
Нетворкинг
Просмотрите все журналы, включая необработанный трафик, с сетевых устройств.
Журналы групп безопасности. Просмотрите журналы потоков и журналы диагностики.
Наблюдатель за сетями Azure. Воспользуйтесь функцией отслеживания пакетов , чтобы задать оповещения и получить доступ к сведениям о производительности в режиме реального времени на уровне пакета.
Запись пакетов отслеживает трафик в виртуальных машинах и из него. Его можно использовать для запуска упреждающего отслеживания на основе определенных аномалий сети, включая сведения о вторжении в сеть.
Пример см. в статье "Мониторинг сетей" с помощью оповещений и функций Azure с помощью записи пакетов.
Используйте возможности безопасности на основе искусственного интеллекта для улучшения обнаружения угроз. Интеграция брандмауэра веб-приложений Azure с Microsoft Security Copilot предоставляет возможности анализа угроз с помощью искусственного интеллекта и реагирования на события WAF в Azure Front Door и Шлюзе приложений Azure. Брандмауэр Azure также интегрируется с Microsoft Security Copilot для изучения вредоносного трафика, перехватаемого функцией IDPS.|
Идентичность
Отслеживайте события риска, связанные с удостоверениями, на потенциально скомпрометированных удостоверениях и исправьте эти риски. Просмотрите зарегистрированные события риска следующим образом:
Используйте отчеты идентификатора Microsoft Entra. Дополнительные сведения см. в разделе "Что такое защита идентификации" и "Защита идентификации".
Используйте члены API обнаружения рисков защиты идентификации, чтобы получить программный доступ к обнаружениям безопасности с помощью Microsoft Graph. Дополнительные сведения см. в разделе riskDetection и riskyUser.
Идентификатор Microsoft Entra использует адаптивные алгоритмы машинного обучения, эвристики и известные скомпрометированные учетные данные (пары имен пользователей и паролей) для обнаружения подозрительных действий, связанных с учетными записями пользователей. Эти пары имен пользователей и паролей отображаются при мониторинге общедоступной и темной сети, а также при работе с исследователями по безопасности, правоохранительными органами, группами безопасности корпорации Майкрософт и другими пользователями.
Azure Pipelines (система конвейеров Azure)
DevOps выступает за изменение управления рабочими нагрузками с помощью непрерывной интеграции и непрерывной доставки (CI/CD). Обязательно добавьте проверку безопасности в конвейеры. Следуйте инструкциям, описанным в статье "Защита Azure Pipelines".
Связанные ссылки
- Рекомендации по проектированию и созданию платформы наблюдаемости
- Инсайдерская оценка безопасности
- Рекомендации по обеспечению защиты ресурсов
- Рекомендации по использованию методов безопасного развертывания
- Документация по Azure Monitor
- Что такое Microsoft Defender для облака?
- Что такое Microsoft Sentinel?
- Интеграция аналитики угроз в Microsoft Sentinel
- Определение расширенных угроз с помощью Аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel
- Руководство. Ведение журнала сетевого трафика на виртуальную машину и с нее с помощью портала Azure
- Запись пакетов
- Мониторинг сетей с помощью оповещений и функций Azure с помощью записи пакетов
- Что такое защита идентификации?
- Защита идентификации
- riskDetection
- riskyUser
- Узнайте, как добавить непрерывную проверку безопасности в конвейер CI/CD
Контрольный список безопасности
Ознакомьтесь с полным набором рекомендаций.