Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez désormais obtenir la détection et la prévention sous la forme d’une solution de pare-feu Azure facile à déployer pour Azure Sentinel.
La sécurité est un équilibre constant entre les défenses proactives et réactives. Ils sont tous deux tout aussi importants, et aucun ne peut être négligé. La protection efficace de votre organisation signifie optimiser constamment la prévention et la détection.
La combinaison de la prévention et de la détection vous permet de vous assurer que vous empêchez les menaces sophistiquées lorsqu'elles sont possibles, tout en conservant une mentalité d'assumer l'effraction pour détecter et répondre rapidement aux cyber-attaques.
Prerequisites
- Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
Fonctionnalités clés
Lorsque vous intégrez le Pare-feu Azure à Microsoft Sentinel, vous activez les fonctionnalités suivantes :
- Surveiller et visualiser les activités du Pare-feu Azure
- Détecter les menaces et appliquer des fonctionnalités d’investigation assistées par l’IA
- Automatiser les réponses et la corrélation à d’autres sources
Toute l’expérience est empaquetée en tant que solution dans la Place de marché Microsoft Sentinel, ce qui signifie qu’elle peut être déployée relativement facilement.
Déployer et activer la solution de pare-feu Azure pour Microsoft Sentinel
Vous pouvez déployer rapidement la solution à partir du hub de contenu. À partir de votre espace de travail Microsoft Sentinel, sélectionnez Analytics , puis Plus de contenu dans le hub de contenu. Recherchez et sélectionnez Pare-feu Azure , puis sélectionnez Installer.
Une fois installé, sélectionnez Gérer suivez toutes les étapes de l’Assistant, passez la validation et créez la solution. Avec quelques sélections, tout le contenu, y compris les connecteurs, les détections, les classeurs et les playbooks, sont déployés dans votre espace de travail Microsoft Sentinel.
Surveiller et visualiser les activités du Pare-feu Azure
Le classeur Pare-feu Azure vous permet de visualiser ses événements. Avec ce classeur, vous pouvez :
- En savoir plus sur vos règles d’application et de réseau
- Consultez les statistiques relatives aux activités de pare-feu sur les URL, les ports et les adresses
- Filtrer par pare-feu et groupe de ressources
- Filtrez dynamiquement par catégorie avec des jeux de données claires et lisibles lors de l’examen d’un problème dans les logs.
Le classeur fournit un tableau de bord unique pour la surveillance continue de votre activité de pare-feu. En ce qui concerne la détection, l’investigation et la réponse des menaces, la solution pare-feu Azure fournit également des fonctionnalités intégrées de détection et de repérage.
Détecter les menaces et utiliser les fonctionnalités d’investigation assistées par l’IA
Les règles de détection de la solution fournissent à Microsoft Sentinel une méthode puissante pour analyser les signaux du Pare-feu Azure pour détecter le trafic représentant des modèles d’activité malveillants qui transitent par le réseau. Cela permet une réponse et une correction rapides des menaces.
Les phases d’attaque qu’un adversaire poursuit dans la solution de pare-feu sont segmentées en fonction de l’infrastructure MITRE ATT&CK . Le framework MITRE est une série d’étapes qui tracent les étapes d’une cyber-attaque des premières phases de reconnaissance jusqu’à l’exfiltration des données. Le framework aide les défenseurs à comprendre et à combattre les ransomwares, les violations de sécurité et les attaques avancées.
La solution inclut des détections pour les scénarios courants qu’un adversaire peut utiliser dans le cadre de l’attaque, couvrant l’étape de découverte (acquérir des connaissances sur le système et le réseau interne) via l’étape de commande et de contrôle (C2) (communiquer avec des systèmes compromis pour les contrôler) à l’étape d’exfiltration (adversaire essayant de voler des données de l’organisation).
| Règle de détection | Fonction | Qu’indique-t-il ? |
|---|---|---|
| Analyse de port | Identifie une adresse IP source qui scanne plusieurs ports ouverts sur le pare-feu Azure. | Analyse malveillante des ports par un attaquant, essayant de révéler les ports ouverts dans l’organisation qui peuvent être compromis pour l’accès initial. |
| Balayage de port | Identifie une IP source analysant les mêmes ports ouverts sur les différents IP du Pare-feu Azure. | Analyse malveillante d’un port par un attaquant qui tente de révéler des adresses IP avec des ports vulnérables spécifiques ouverts dans l’organisation. |
| Taux de refus anormal pour l’adresse IP source | Identifie un taux de refus anormal pour une adresse IP source spécifique vers une adresse IP de destination basée sur le Machine Learning effectué pendant une période configurée. | Exfiltration potentielle, accès initial ou C2, où un attaquant tente d’exploiter la même vulnérabilité sur les machines de l’organisation, mais les règles de pare-feu Azure le bloquent. |
| Port anormal vers le protocole | Identifie la communication d’un protocole connu sur un port non standard basé sur le Machine Learning effectué pendant une période d’activité. | Communication malveillante (C2) ou exfiltration par des attaquants qui tentent de communiquer via des ports connus (SSH, HTTP), mais n’utilisent pas les en-têtes de protocole connus qui correspondent au numéro de port. |
| Plusieurs sources affectées par la même destination TI | Identifie plusieurs machines qui tentent d’atteindre la même destination bloquée par le renseignement sur les menaces (TI) dans le Pare-feu Azure. | Attaque de l’organisation par le même groupe d’attaques qui tente d’exfiltrer les données de l’organisation. |
Requêtes de chasse
Les requêtes de repérage sont un outil permettant au chercheur en sécurité de rechercher des menaces dans le réseau d’une organisation, soit après qu’un incident s’est produit, soit de manière proactive pour détecter des attaques nouvelles ou inconnues. Pour ce faire, les chercheurs en sécurité examinent plusieurs indicateurs de compromission (IOC). Les requêtes de chasse Azure Sentinel intégrées dans la solution de pare-feu Azure donnent aux chercheurs en sécurité les outils dont ils ont besoin pour trouver des activités à fort impact à partir des journaux de pare-feu. Voici quelques exemples :
| Requête de chasse | Fonction | Qu’indique-t-il ? |
|---|---|---|
| Première fois qu’une adresse IP source se connecte au port de destination | Permet d’identifier une indication commune d’une attaque (IOA) lorsqu’un nouvel hôte ou une adresse IP tente de communiquer avec une destination à l’aide d’un port spécifique. | En fonction de l'analyse du trafic habituel pendant une période spécifiée. |
| La première fois que l’adresse IP source se connecte à une destination | Permet d’identifier un IOA lorsque la communication malveillante est effectuée pour la première fois à partir de machines qui n’ont jamais accédé à la destination avant. | En fonction de l'analyse du trafic habituel pendant une période spécifiée. |
| L’adresse IP source se connecte anormalement à plusieurs destinations | Identifie une adresse IP source qui se connecte anormalement à plusieurs destinations. | Indique les tentatives d’accès initiales par les attaquants qui tentent de sauter entre différentes machines de l’organisation, d’exploiter le chemin de mouvement latéral ou la même vulnérabilité sur différentes machines pour trouver des machines vulnérables à accéder. |
| Port rare pour l’organisation | Identifie les ports anormaux utilisés dans le réseau de l’organisation. | Un attaquant peut contourner les ports surveillés et envoyer des données via des ports rares. Cela permet aux attaquants d’échapper à la détection des systèmes de détection de routine. |
| Connexion de port rare à l’adresse IP de destination | Identifie les ports anormaux utilisés par les machines pour se connecter à une adresse IP de destination. | Un attaquant peut contourner les ports surveillés et envoyer des données via des ports rares. Cela peut également indiquer une attaque d’exfiltration à partir de machines de l’organisation à l’aide d’un port qui n’a jamais été utilisé sur l’ordinateur pour la communication. |
Automatiser la réponse et la corrélation à d’autres sources
Enfin, le Pare-feu Azure inclut également des playbooks Azure Sentinel, qui vous permettent d’automatiser la réponse aux menaces. Par exemple, supposons que le pare-feu enregistre un événement où un appareil particulier sur le réseau tente de communiquer avec Internet via le protocole HTTP via un port TCP non standard. Cette action déclenche une détection dans Azure Sentinel. Le playbook automatise une notification à l’équipe des opérations de sécurité via Microsoft Teams, et les analystes de sécurité peuvent bloquer l’adresse IP source de l’appareil avec une sélection unique. Cela empêche l’accès à Internet jusqu’à ce qu’une enquête puisse être effectuée. Les playbooks permettent à ce processus d’être beaucoup plus efficace et rationalisé.
Exemple réel
Examinons ce que ressemble la solution entièrement intégrée dans un scénario réel.
Attaque et prévention initiale par le Pare-feu Azure
Un représentant commercial de l’entreprise a accidentellement ouvert un e-mail de hameçonnage et ouvert un fichier PDF contenant des programmes malveillants. Le programme malveillant tente immédiatement de se connecter à un site web malveillant, mais le Pare-feu Azure le bloque. Le pare-feu a détecté le domaine à l’aide du flux de renseignements sur les menaces de Microsoft qu’il consomme.
La réponse
La tentative de connexion déclenche une détection dans Azure Sentinel et démarre le processus d’automatisation du playbook pour notifier l’équipe des opérations de sécurité via un canal Teams. Là, l’analyste peut empêcher l’ordinateur de communiquer avec Internet. L’équipe des opérations de sécurité informe ensuite le service informatique qui supprime les programmes malveillants de l’ordinateur du représentant commercial. Toutefois, en adoptant l’approche proactive et en regardant plus en profondeur, le chercheur en sécurité applique les requêtes de recherche du Pare-feu Azure et exécute la requête L'adresse IP source se connecte de manière anormale à plusieurs destinations. Cela révèle que le programme malveillant sur l’ordinateur infecté a essayé de communiquer avec plusieurs autres appareils sur le réseau plus large et a essayé d’accéder à plusieurs d’entre eux. L’une de ces tentatives d’accès a réussi, car il n’y avait pas de segmentation réseau appropriée pour empêcher le mouvement latéral dans le réseau, et le nouvel appareil avait une vulnérabilité connue que les programmes malveillants exploités pour l’infecter.
Résultat
Le chercheur en sécurité a supprimé le programme malveillant du nouvel appareil, a terminé d’atténuer l’attaque et a découvert une faiblesse du réseau dans le processus.