Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Teraz możesz uzyskać zarówno wykrywanie, jak i zapobieganie w postaci łatwego do wdrożenia rozwiązania Azure Firewall dla usługi Azure Sentinel.
Zabezpieczenia to stała równowaga między proaktywnymi i reaktywnymi zabezpieczeniami. Są one zarówno równie ważne, jak i nie mogą być zaniedbane. Efektywna ochrona organizacji oznacza ciągłe optymalizowanie zarówno zapobiegania, jak i wykrywania.
Połączenie zapobiegania i wykrywania pozwala na zapewnienie, że z jednej strony uniemożliwia się zaawansowane zagrożenia, gdy tylko jest to możliwe, a z drugiej strony przyjmuje się strategię zakładającą naruszenie, co pozwala na wykrywanie i szybkie reagowanie na cyberataki.
Wymagania wstępne
- Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Kluczowe możliwości
Po zintegrowaniu usługi Azure Firewall z usługą Microsoft Sentinel można włączyć następujące możliwości:
- Monitorowanie i wizualizowanie działań usługi Azure Firewall
- Wykrywanie zagrożeń i stosowanie możliwości badania wspomaganego przez sztuczną inteligencję
- Automatyzowanie odpowiedzi i korelacji z innymi źródłami
Całe środowisko jest pakowane jako rozwiązanie na platformie handlowej usługi Microsoft Sentinel, co oznacza, że można je wdrożyć stosunkowo łatwo.
Wdrażanie i włączanie rozwiązania Azure Firewall dla usługi Microsoft Sentinel
Rozwiązanie można szybko wdrożyć z centrum zawartości. W obszarze roboczym usługi Microsoft Sentinel wybierz pozycję Analiza , a następnie pozycję Więcej zawartości w centrum zawartości. Wyszukaj i wybierz pozycję Azure Firewall , a następnie wybierz pozycję Zainstaluj.
Po zainstalowaniu wybierz pozycję Zarządzaj, wykonaj wszystkie kroki kreatora, zakończ walidację i utwórz rozwiązanie. Po zaledwie kilku wyborach cała zawartość, w tym łączniki, wykrycia, skoroszyty i plan działania, jest wdrażana w obszarze roboczym usługi Microsoft Sentinel.
Monitorowanie i wizualizowanie działań usługi Azure Firewall
Skoroszyt usługi Azure Firewall umożliwia wizualizowanie zdarzeń usługi Azure Firewall. Za pomocą tego skoroszytu można wykonywać następujące czynności:
- Dowiedz się więcej o regułach aplikacji i sieci
- Zobacz statystyki dotyczące aktywności zapory sieciowej dla adresów URL, portów i adresów
- Filtruj według zapory sieciowej i grupy zasobów
- Dynamiczne filtrowanie według kategorii przy użyciu łatwych do odczytania zestawów danych podczas badania problemu w dziennikach.
Skoroszyt zawiera pojedynczy panel do ciągłego monitorowania aktywności zapory sieciowej. Jeśli chodzi o wykrywanie zagrożeń, badanie i reagowanie na nie, rozwiązanie Azure Firewall zapewnia również wbudowane funkcje wykrywania i wyszukiwania zagrożeń.
Wykrywanie zagrożeń i korzystanie z możliwości badania wspomaganego przez sztuczną inteligencję
Reguły wykrywania rozwiązania zapewniają usłudze Microsoft Sentinel zaawansowaną metodę analizowania sygnałów usługi Azure Firewall w celu wykrywania ruchu reprezentującego złośliwe wzorce działań przechodzących przez sieć. Umożliwia to szybką reakcję i korygowanie zagrożeń.
Etapy ataku prowadzone przez przeciwnika w rozwiązaniu zapory są segmentowane na podstawie struktury MITRE ATT&CK . Struktura MITRE to seria kroków, które śledzą etapy cyberataku od wczesnych etapów rekonesansu do eksfiltracji danych. Platforma ułatwia obrońcom zrozumienie i zwalczanie oprogramowania wymuszającego okup, naruszeń zabezpieczeń i zaawansowanych ataków.
Rozwiązanie obejmuje wykrywanie typowych scenariuszy, których atakujący może użyć w ramach ataku, obejmującego etap odnajdywania (uzyskanie wiedzy na temat systemu i sieci wewnętrznej) za pośrednictwem etapu poleceń i kontroli (C2) (komunikowanie się z naruszonymi systemami w celu ich kontrolowania) do etapu eksfiltracji (przeciwnik próbuje ukraść dane z organizacji).
| Reguła wykrywania | Co to robi? | Co wskazuje? |
|---|---|---|
| Skanowanie portów | Identyfikuje źródłowy adres IP skanujący wiele otwartych portów w usłudze Azure Firewall. | Złośliwe skanowanie portów przez osobę atakującą, próbując ujawnić otwarte porty w organizacji, które mogą zostać naruszone w celu uzyskania dostępu początkowego. |
| Skanowanie portów | Identyfikuje źródłowy adres IP skanujący te same otwarte porty na różnych adresach IP w usłudze Azure Firewall. | Złośliwe skanowanie portu przez osobę atakującą próbującą ujawnić adresy IP z określonymi portami podatnymi na zagrożenia otwarte w organizacji. |
| Nietypowa szybkość odmowy dla źródłowego adresu IP | Identyfikuje nietypowy wskaźnik odrzuceń od określonego źródłowego adresu IP do docelowego adresu IP na podstawie uczenia maszynowego, które zostało wykonane w skonfigurowanym okresie. | Potencjalna eksfiltracja, wstępny dostęp lub C2, gdzie osoba atakująca próbuje wykorzystać tę samą lukę w zabezpieczeniach na maszynach w organizacji, ale blokuje je reguły usługi Azure Firewall. |
| Nieprawidłowy port do protokołu | Wykorzystuje uczenie maszynowe do identyfikacji komunikacji dla dobrze znanego protokołu używanego na niestandardowym porcie podczas okresu aktywności. | Złośliwa komunikacja (C2) lub eksfiltracja przez osoby atakujące próbujące komunikować się za pośrednictwem znanych portów (SSH, HTTP), ale nie używają znanych nagłówków protokołu pasujących do numeru portu. |
| Wiele źródeł dotkniętych tym samym docelowym punktem TI | Identyfikuje wiele maszyn, które próbują dotrzeć do tego samego miejsca docelowego zablokowanego przez analizę zagrożeń (TI) w usłudze Azure Firewall. | Atak na organizację przez tę samą grupę ataków próbującą eksfiltrować dane z organizacji. |
Zapytania dotyczące wyszukiwania zagrożeń
Zapytania dotyczące wyszukiwania zagrożeń to narzędzie dla badacza zabezpieczeń, które wyszukuje zagrożenia w sieci organizacji, po wystąpieniu zdarzenia lub proaktywnym wykrywaniu nowych lub nieznanych ataków. Aby to zrobić, analitycy ds. bezpieczeństwa przyglądają się kilku wskaźnikom włamania (IOCs). Wbudowane w rozwiązanie Azure Firewall zapytania wyszukiwania zagrożeń w usłudze Azure Sentinel zapewniają badaczom zabezpieczeń narzędzia potrzebne do znajdowania działań o dużym wpływie w dziennikach zapory. Oto kilka przykładów:
| Zapytanie dotyczące wyszukiwania zagrożeń | Co to robi? | Co wskazuje? |
|---|---|---|
| Przy pierwszym połączeniu źródłowego adresu IP z portem docelowym | Pomaga zidentyfikować typowe wskazanie ataku (IOA), gdy nowy host lub adres IP próbuje komunikować się z miejscem docelowym przy użyciu określonego portu. | Na podstawie analizy regularnego ruchu w określonym czasie. |
| Przy pierwszym połączeniu źródłowego adresu IP z docelowym adresem | Pomaga zidentyfikować IOA, gdy złośliwa komunikacja odbywa się po raz pierwszy z maszyn, które nigdy wcześniej nie uzyskiwały dostępu do miejsca docelowego. | Na podstawie analizy regularnego ruchu w określonym czasie. |
| Źródłowy adres IP nietypowo łączy się z wieloma miejscami docelowymi | Identyfikuje źródłowy adres IP, który nietypowo łączy się z wieloma miejscami docelowymi. | Wskazuje początkowe próby dostępu przez osoby atakujące próbujące przeskoczyć między różnymi maszynami w organizacji, wykorzystując ścieżkę ruchu bocznego lub tę samą lukę w zabezpieczeniach na różnych maszynach w celu znalezienia narażonych maszyn na dostęp. |
| Nietypowy port dla organizacji | Identyfikuje nietypowe porty używane w sieci organizacji. | Osoba atakująca może pominąć monitorowane porty i wysyłać dane za pośrednictwem nietypowych portów. Dzięki temu osoby atakujące mogą unikać wykrywania z rutynowych systemów wykrywania. |
| Nietypowe połączenie portów z docelowym adresem IP | Identyfikuje nietypowe porty używane przez maszyny do nawiązywania połączenia z docelowym adresem IP. | Osoba atakująca może pominąć monitorowane porty i wysyłać dane za pośrednictwem nietypowych portów. Może to również wskazywać na atak eksfiltracji z maszyn w organizacji przy użyciu portu, który nigdy nie był używany na maszynie do komunikacji. |
Automatyzowanie odpowiedzi i korelacji z innymi źródłami
Ponadto usługa Azure Firewall zawiera również podręczniki usługi Azure Sentinel, które umożliwiają automatyzowanie reagowania na zagrożenia. Załóżmy na przykład, że zapora rejestruje zdarzenie, w którym określone urządzenie w sieci próbuje komunikować się z Internetem za pośrednictwem protokołu HTTP za pośrednictwem niestandardowego portu TCP. Ta akcja wyzwala wykrywanie w usłudze Azure Sentinel. Playbook automatyzuje powiadomienie do zespołu ds. operacji zabezpieczeń za pośrednictwem usługi Microsoft Teams, a analitycy zabezpieczeń mogą zablokować źródłowy adres IP urządzenia jednym kliknięciem. Uniemożliwia to uzyskiwanie dostępu do Internetu do momentu ukończenia badania. Podręczniki umożliwiają uzyskanie znacznie bardziej wydajnego i usprawnionego procesu.
Przykład świata rzeczywistego
Przyjrzyjmy się, jak wygląda w pełni zintegrowane rozwiązanie w rzeczywistym scenariuszu.
Atak i wstępna ochrona przez usługę Azure Firewall
Przedstawiciel handlowy w firmie przypadkowo otworzył wiadomość e-mail wyłudzającą informacje i otworzył plik PDF zawierający złośliwe oprogramowanie. Złośliwe oprogramowanie natychmiast próbuje nawiązać połączenie ze złośliwą witryną internetową, ale usługa Azure Firewall blokuje ją. Zapora wykryła domenę przy użyciu źródła danych analizy zagrożeń firmy Microsoft, z których korzysta.
Odpowiedź
Próba połączenia wyzwala wykrywanie w usłudze Azure Sentinel i uruchamia proces automatyzacji playbooka w celu powiadomienia zespołu operacji bezpieczeństwa za pośrednictwem kanału Teams. Tam analityk może zablokować komputerowi komunikację z Internetem. Następnie zespół ds. operacji zabezpieczeń powiadamia dział IT, który usuwa złośliwe oprogramowanie z komputera przedstawiciela sprzedaży. Jednak przyjmując proaktywne podejście i patrząc głębiej, badacz zabezpieczeń stosuje zapytania do wyszukiwania w Azure Firewall i uruchamia Źródłowy adres IP niestandardowo łączy się z wieloma miejscami docelowymi. Ujawnia to, że złośliwe oprogramowanie na zainfekowanym komputerze próbowało komunikować się z kilkoma innymi urządzeniami w szerszej sieci i próbowało uzyskać do nich dostęp. Jedna z tych prób dostępu powiodła się, ponieważ nie było właściwej segmentacji sieci, aby zapobiec ruchowi bocznemu w sieci, a nowe urządzenie miało znaną lukę w zabezpieczeniach, którą złośliwe oprogramowanie wykorzystało do jego zainfekowania.
Wynik
Badacz zabezpieczeń usunął złośliwe oprogramowanie z nowego urządzenia, zakończył atak i wykrył słabość sieci w procesie.