Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Ahora puede obtener tanto la detección como la prevención en forma de una solución de Azure Firewall fácil de implementar para Azure Sentinel.
La seguridad es un equilibrio constante entre las defensas proactivas y reactivas. Son igualmente importantes, y tampoco se pueden descuidar. La protección eficaz de su organización significa optimizar constantemente tanto la prevención como la detección.
La combinación de prevención y detección le permite asegurarse de evitar amenazas sofisticadas cuando pueda, al tiempo que mantiene una mentalidad de vulneración de seguridad para detectar y responder rápidamente a ataques cibernéticos.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Funcionalidades clave
Al integrar Azure Firewall con Microsoft Sentinel, habilite las siguientes funcionalidades:
- Supervisión y visualización de actividades de Azure Firewall
- Detección de amenazas y aplicación de funcionalidades de investigación asistida por IA
- Automatización de respuestas y correlación con otros orígenes
Toda la experiencia se empaqueta como una solución en el marketplace de Microsoft Sentinel, lo que significa que se puede implementar con facilidad.
Implementación y habilitación de la solución azure Firewall para Microsoft Sentinel
Puede implementar rápidamente la solución desde el centro de contenido. En el área de trabajo de Microsoft Sentinel, seleccione Análisis y, a continuación, Más contenido en el centro de contenido. Busque y seleccione Azure Firewall y, a continuación, seleccione Instalar.
Una vez instalado, seleccione Administrar , siga todos los pasos del asistente, pase la validación y cree la solución. Con solo algunas selecciones, todo el contenido, incluidos conectores, detecciones, libros y cuadernos de estrategias, se implementan en el área de trabajo de Microsoft Sentinel.
Supervisión y visualización de actividades de Azure Firewall
El cuaderno de trabajo de Azure Firewall le permite visualizar eventos de Azure Firewall. Con este libro, puede hacer lo siguiente:
- Más información sobre las reglas de aplicación y de red
- Vea las estadísticas de las actividades de firewall a través de URL, puertos y direcciones IP.
- Filtrado por firewall y grupo de recursos
- Filtre dinámicamente por categoría con conjuntos de datos fáciles de leer al investigar un problema en los registros.
El libro proporciona un único panel para la supervisión continua de la actividad del firewall. En lo que respecta a la detección, investigación y respuesta de amenazas, la solución Azure Firewall también proporciona funcionalidades integradas de detección y búsqueda.
Detección de amenazas y uso de funcionalidades de investigación asistida por IA
Las reglas de detección de la solución proporcionan a Microsoft Sentinel un método eficaz para analizar señales de Azure Firewall para detectar el tráfico que representa patrones de actividad malintencionados que atraviesan la red. Esto permite una respuesta rápida y corrección de las amenazas.
Las fases de ataque que persigue un adversario dentro de la solución de firewall se segmentan en función del marco MITRE ATT&CK . El marco MITRE es una serie de pasos que rastrean las fases de un ataque cibernético desde las primeras fases de reconocimiento hasta la filtración de datos. El marco ayuda a los defensores a comprender y combatir ransomware, infracciones de seguridad y ataques avanzados.
La solución incluye detecciones para escenarios comunes que un adversario podría usar como parte del ataque, abarcando desde la fase de detección (obteniendo conocimiento sobre el sistema y la red interna) a través de la fase de comando y control (C2) (comunicación con sistemas comprometidos para controlarlos) a la fase de filtración (adversario que intenta robar datos de la organización).
| Regla de detección | ¿Para qué sirve? | ¿Qué indica? |
|---|---|---|
| Examen de puertos | Identifica una IP de origen que escanea varios puertos abiertos en el Azure Firewall. | Escaneo malintencionado de puertos por parte de un atacante, intentando descubrir puertos abiertos en la organización que se puedan comprometer para obtener acceso inicial. |
| Barrido de puertos | Identifica una dirección IP de origen que examina los mismos puertos abiertos en diferentes direcciones IP del Azure Firewall. | Examen malintencionado de un puerto por parte de un atacante que intenta revelar direcciones IP con puertos vulnerables específicos abiertos en la organización. |
| Tasa de denegación anómala para la dirección IP de origen | Identifica una tasa de denegación anómala para una dirección IP de origen específica a una dirección IP de destino basada en el aprendizaje automático realizado durante un período configurado. | Posible filtración, acceso inicial o C2, donde un atacante intenta aprovechar la misma vulnerabilidad en las máquinas de la organización, pero las reglas de Azure Firewall la bloquean. |
| Puerto anómalo en relación con el protocolo | Identifica la comunicación de un protocolo conocido a través de un puerto no estándar basado en el aprendizaje automático realizado durante un período de actividad. | Comunicación malintencionada (C2) o filtración por atacantes que intentan comunicarse a través de puertos conocidos (SSH, HTTP), pero no usan los encabezados de protocolo conocidos que coinciden con el número de puerto. |
| Varios orígenes afectados por el mismo destino de TI | Identifica varias máquinas que intentan ponerse en contacto con el mismo destino bloqueado por inteligencia sobre amenazas (TI) en Azure Firewall. | Un ataque a la organización por el mismo grupo de ataques que intenta filtrar datos de la organización. |
Consultas de búsqueda
Las consultas de búsqueda son una herramienta para que el investigador de seguridad busque amenazas en la red de una organización, ya sea después de que se haya producido un incidente o de forma proactiva para detectar ataques nuevos o desconocidos. Para ello, los investigadores de seguridad examinan varios indicadores de riesgo (IOC). Las consultas de búsqueda integradas de Azure Sentinel en la solución Azure Firewall proporcionan a los investigadores de seguridad las herramientas que necesitan para encontrar actividades de alto impacto en los registros de firewall. Entre los ejemplos se incluyen:
| Consultas de búsqueda | ¿Para qué sirve? | ¿Qué indica? |
|---|---|---|
| Primera vez que una dirección IP de origen se conecta al puerto de destino | Ayuda a identificar una indicación común de un ataque (IOA) cuando un nuevo host o dirección IP intenta comunicarse con un destino a través de un puerto específico. | Basado en el aprendizaje automático del tráfico regular durante un período especificado. |
| La primera vez que la dirección IP de origen se conecta a un destino | Ayuda a identificar un IOA cuando la comunicación malintencionada se realiza por primera vez desde máquinas que nunca han accedido al destino antes. | Basado en el aprendizaje automático del tráfico regular durante un período especificado. |
| La dirección IP de origen se conecta anómalamente a varios destinos | Identifica una dirección IP de origen que se conecta anómalamente a varios destinos. | Indica los intentos de acceso iniciales por parte de los atacantes que intentan saltar entre diferentes máquinas de la organización, aprovechar la ruta de desplazamiento lateral o la misma vulnerabilidad en diferentes máquinas para encontrar máquinas vulnerables a las que acceder. |
| Puerto poco común para la organización | Identifica los puertos anómalos usados en la red de la organización. | Un atacante puede omitir los puertos supervisados y enviar datos a través de puertos poco comunes. Esto permite a los atacantes eludir la detección de sistemas de detección rutinarios. |
| Conexión de puerto poco común a la dirección IP de destino | Identifica los puertos anómalos utilizados por las máquinas para conectarse a una dirección IP de destino. | Un atacante puede omitir los puertos supervisados y enviar datos a través de puertos poco comunes. Esto también puede indicar un ataque de exfiltración desde máquinas dentro de la organización mediante un puerto que la máquina nunca ha usado para la comunicación. |
Automatización de la respuesta y la correlación con otros orígenes
Por último, Azure Firewall también incluye cuadernos de estrategias de Azure Sentinel, que permiten automatizar la respuesta a las amenazas. Por ejemplo, supongamos que el firewall registra un evento en el que un dispositivo determinado de la red intenta comunicarse con Internet a través del protocolo HTTP a través de un puerto TCP no estándar. Esta acción desencadena una detección en Azure Sentinel. El cuaderno de estrategias automatiza una notificación al equipo de operaciones de seguridad a través de Microsoft Teams y los analistas de seguridad pueden bloquear la dirección IP de origen del dispositivo con una sola selección. Esto impide que acceda a Internet hasta que se pueda completar una investigación. Los cuadernos de estrategias permiten que este proceso sea mucho más eficaz y optimizado.
Ejemplo del mundo real
Echemos un vistazo al aspecto de la solución totalmente integrada en un escenario real.
El ataque y la prevención inicial de Azure Firewall
Un representante de ventas de la empresa ha abierto accidentalmente un correo electrónico de suplantación de identidad (phishing) y ha abierto un archivo PDF que contiene malware. El malware intenta conectarse inmediatamente a un sitio web malintencionado, pero Azure Firewall lo bloquea. El firewall detectó el dominio utilizando el feed de inteligencia sobre amenazas de Microsoft que consume.
La respuesta
El intento de conexión desencadena una detección en Azure Sentinel e inicia el proceso de automatización del cuaderno de estrategias para notificar al equipo de operaciones de seguridad a través de un canal de Teams. Allí, el analista puede impedir que el equipo se comunique con Internet. Después, el equipo de operaciones de seguridad notifica al departamento de TI que quita el malware del equipo del representante de ventas. Sin embargo, adoptando un enfoque proactivo y profundizando más, el investigador de seguridad aplica las consultas de caza de Azure Firewall y ejecuta la consulta IP de origen que se conecta anómalamente a múltiples destinos. Esto revela que el malware en el equipo infectado intentó comunicarse con varios otros dispositivos en la red más amplia e intentó acceder a varios de ellos. Uno de esos intentos de acceso se realizó correctamente, ya que no había ninguna segmentación de red adecuada para evitar el movimiento lateral en la red, y el nuevo dispositivo tenía una vulnerabilidad conocida que el malware explotaba para infectarlo.
El resultado
El investigador de seguridad quitó el malware del nuevo dispositivo, completó la mitigación del ataque y detectó una debilidad de red en el proceso.