Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy tego zalecenia listy kontrolnej zabezpieczeń platformy Azure Well-Architected Framework:
| SE:10 | Zaimplementuj całościową strategię monitorowania, która opiera się na nowoczesnych mechanizmach wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie powiadamiać o klasyfikacji i wysyłać sygnały do istniejących procesów SecOps. |
|---|
W tym przewodniku opisano zalecenia dotyczące monitorowania i wykrywania zagrożeń. Monitorowanie to zasadniczo proces uzyskiwania informacji o zdarzeniach, które już wystąpiły. Monitorowanie zabezpieczeń to praktyka przechwytywania informacji na różnych wysokościach obciążenia (infrastruktury, aplikacji, operacji) w celu uzyskania świadomości podejrzanych działań. Celem jest przewidywanie zdarzeń i uczenie się na podstawie przeszłych zdarzeń. Dane monitorowania zapewniają podstawę analizy po zdarzeniu, co miało miejsce, aby pomóc w reagowaniu na zdarzenia i badaniach kryminalistycznych.
Monitorowanie to podejście do doskonałości operacyjnej stosowane we wszystkich filarach Well-Architected Framework. Ten przewodnik zawiera zalecenia tylko z perspektywy zabezpieczeń. Ogólne pojęcia dotyczące monitorowania, takie jak instrumentacja kodu, zbieranie danych i analiza, są poza zakresem tego przewodnika. Aby uzyskać informacje na temat podstawowych pojęć związanych z monitorowaniem, zobacz Zalecenia dotyczące projektowania i tworzenia struktury obserwacji.
Definicje
| Termin | Definition |
|---|---|
| Dzienniki inspekcji | Rekord działań w systemie. |
| Zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM) | Podejście, które korzysta z wbudowanych funkcji wykrywania zagrożeń i analizy na podstawie danych zagregowanych z wielu źródeł. |
| Wykrywanie zagrożeń | Strategia wykrywania odchyleń od oczekiwanych akcji przy użyciu zebranych, przeanalizowanych i skorelowanych danych. |
| Analiza zagrożeń | Strategia interpretacji danych wykrywania zagrożeń w celu wykrywania podejrzanych działań lub zagrożeń przez badanie wzorców. |
| Zapobieganie zagrożeniom | Mechanizmy kontroli zabezpieczeń umieszczone w obciążeniu na różnych wysokościach w celu ochrony zasobów. |
Głównym celem monitorowania zabezpieczeń jest wykrywanie zagrożeń. Głównym celem jest zapobieganie potencjalnym naruszeniom zabezpieczeń i utrzymanie bezpiecznego środowiska. Jednak równie ważne jest, aby rozpoznać, że nie wszystkie zagrożenia mogą być blokowane z góry. W takich przypadkach monitorowanie służy również jako mechanizm identyfikacji przyczyny zdarzenia zabezpieczeń, który wystąpił pomimo działań zapobiegawczych.
Monitorowanie można przeprowadzać z różnych perspektyw:
Monitoruj na różnych wysokościach. Obserwowanie z różnych wysokości to proces uzyskiwania informacji na temat przepływów użytkownika, dostępu do danych, tożsamości, sieci, a nawet systemu operacyjnego. Każdy z tych obszarów oferuje unikatowe szczegółowe informacje, które mogą ułatwić identyfikowanie odchyleń od oczekiwanych zachowań ustanowionych względem punktu odniesienia zabezpieczeń. Z drugiej strony ciągłe monitorowanie systemu i aplikacji w czasie może pomóc w ustaleniu tego stanu punktu odniesienia. Na przykład co godzinę można zobaczyć około 1000 prób logowania w systemie tożsamości. Jeśli monitorowanie wykryje wzrost liczby 50 000 prób logowania w krótkim okresie, osoba atakująca może próbować uzyskać dostęp do systemu.
Monitoruj w różnych zakresach wpływu. Obserwowanie aplikacji i platformy ma kluczowe znaczenie. Załóżmy, że użytkownik aplikacji przypadkowo otrzymuje eskalowane uprawnienia lub występuje naruszenie zabezpieczeń. Jeśli użytkownik wykonuje akcje poza wyznaczonym zakresem, wpływ może być ograniczony do akcji, które mogą wykonywać inni użytkownicy.
Jednak jeśli jednostka wewnętrzna naruszy bezpieczeństwo bazy danych, zakres potencjalnych szkód jest niepewny.
Jeśli po stronie zasobu platformy Azure wystąpi naruszenie, może to mieć wpływ na wszystkie jednostki, które wchodzą w interakcję z zasobem.
Promień wybuchu lub zakres wpływu może być znacznie inny, w zależności od tego, który z tych scenariuszy występuje.
Użyj wyspecjalizowanych narzędzi do monitorowania. Niezwykle ważne jest inwestowanie w wyspecjalizowane narzędzia , które mogą stale skanować pod kątem nietypowego zachowania, które mogą wskazywać na atak. Większość z tych narzędzi ma możliwości analizy zagrożeń , które mogą wykonywać analizę predykcyjną na podstawie dużej ilości danych i znanych zagrożeń. Większość narzędzi nie jest bezstanowa i zawiera głębokie zrozumienie telemetrii w kontekście zabezpieczeń.
Narzędzia muszą być zintegrowane z platformą lub co najmniej świadome platformy, aby uzyskać głębokie sygnały z platformy i przewidywać z wysoką wiernością. Muszą one mieć możliwość generowania alertów w odpowiednim czasie z wystarczającą ilością informacji, aby przeprowadzić właściwą klasyfikację. Korzystanie z zbyt wielu różnych narzędzi może prowadzić do złożoności.
Użyj monitorowania na potrzeby reagowania na zdarzenia. Zagregowane dane, przekształcone w analizę umożliwiającą podejmowanie działań, umożliwiają szybkie i skuteczne reakcje na zdarzenia. Monitorowanie pomaga w działaniach wykonywanych po zdarzeniu. Celem jest zebranie wystarczającej ilości danych, aby przeanalizować i zrozumieć, co się stało. Proces monitorowania przechwytuje informacje na temat przeszłych zdarzeń, aby zwiększyć możliwości reaktywne i potencjalnie przewidzieć przyszłe zdarzenia.
W poniższych sekcjach przedstawiono zalecane rozwiązania, które obejmują powyższe perspektywy monitorowania.
Przechwytywanie danych w celu zachowania śladu działań
Celem jest utrzymanie kompleksowego dziennika inspekcji zdarzeń, które są istotne z punktu widzenia zabezpieczeń. Rejestrowanie jest najczęstszym sposobem przechwytywania wzorców dostępu. Rejestrowanie musi być wykonywane dla aplikacji i platformy.
W przypadku dziennika inspekcji należy ustalić, co, kiedy i kto jest skojarzony z akcjami. Należy zidentyfikować określone przedziały czasowe, gdy są wykonywane akcje. Dokonaj tej oceny w modelowaniu zagrożeń. Aby przeciwdziałać zagrożeniu przed odrzuceniem, należy ustanowić silne systemy rejestrowania i inspekcji, które powodują zapis działań i transakcji.
W poniższych sekcjach opisano przypadki użycia niektórych typowych wysokości obciążenia.
Przepływy użytkownika aplikacji
Aplikacja powinna być zaprojektowana tak, aby zapewnić widoczność środowiska uruchomieniowego w przypadku wystąpienia zdarzeń. Zidentyfikuj punkty krytyczne w aplikacji i ustanów rejestrowanie dla tych punktów. Na przykład gdy użytkownik loguje się do aplikacji, przechwytuje tożsamość użytkownika, lokalizację źródłową i inne istotne informacje. Ważne jest, aby potwierdzić każdą eskalację uprawnień użytkownika, akcje wykonywane przez użytkownika oraz to, czy użytkownik uzyskiwał dostęp do poufnych informacji w bezpiecznym magazynie danych. Śledź działania dla użytkownika i sesji użytkownika.
Aby ułatwić śledzenie, kod powinien być instrumentowany za pośrednictwem rejestrowania strukturalnego. Umożliwia to łatwe i jednolite wykonywanie zapytań i filtrowanie dzienników.
Ważne
Należy wymusić rejestrowanie odpowiedzialne, aby zachować poufność i integralność systemu. Wpisy tajne i poufne dane nie mogą być wyświetlane w dziennikach. Należy pamiętać o wycieku danych osobowych i innych wymagań dotyczących zgodności podczas przechwytywania tych danych dziennika.
Monitorowanie tożsamości i dostępu
Zachowaj dokładny rejestr wzorców dostępu dla aplikacji i modyfikacji zasobów platformy. Mają niezawodne dzienniki aktywności i mechanizmy wykrywania zagrożeń, szczególnie w przypadku działań związanych z tożsamościami, ponieważ osoby atakujące często próbują manipulować tożsamościami w celu uzyskania nieautoryzowanego dostępu.
Zaimplementuj kompleksowe rejestrowanie przy użyciu wszystkich dostępnych punktów danych. Na przykład uwzględnij adres IP klienta, aby odróżnić regularną aktywność użytkownika i potencjalne zagrożenia z nieoczekiwanych lokalizacji. Wszystkie zdarzenia rejestrowania powinny być znacznikami czasu serwera.
Rejestruj wszystkie działania dostępu do zasobów, przechwytując, kto robi to i kiedy to robi. Wystąpienia eskalacji uprawnień to znaczący punkt danych, który powinien być rejestrowany. Należy również rejestrować akcje związane z tworzeniem lub usuwaniem konta przez aplikację. To zalecenie dotyczy wpisów tajnych aplikacji. Monitoruj, kto uzyskuje dostęp do wpisów tajnych i kiedy są obracane.
Chociaż rejestrowanie udanych akcji jest ważne, błędy rejestrowania są niezbędne z punktu widzenia zabezpieczeń. Udokumentowanie wszelkich naruszeń, takich jak próba wykonania akcji przez użytkownika, ale napotkanie błędu autoryzacji, próby dostępu dla nieistniejących zasobów i inne akcje, które wydają się podejrzane.
Monitorowanie sieci
Monitorując pakiety sieciowe i ich źródła, miejsca docelowe i struktury, uzyskujesz wgląd w wzorce dostępu na poziomie sieci.
Projekt segmentacji powinien włączyć punkty obserwacji na granicach , aby monitorować, co je przekracza i rejestrować te dane. Na przykład monitoruj podsieci z sieciowymi grupami zabezpieczeń, które generują dzienniki przepływu. Monitoruj również dzienniki zapory, które pokazują przepływy, które były dozwolone lub blokowane.
Istnieją dzienniki dostępu dla żądań połączeń przychodzących. Te dzienniki rejestrują źródłowe adresy IP, które inicjują żądania, typ żądania (GET, POST) i wszystkie inne informacje będące częścią żądań.
Przechwytywanie przepływów DNS jest istotnym wymaganiem dla wielu organizacji. Na przykład dzienniki DNS mogą pomóc w zidentyfikowaniu użytkownika lub urządzenia zainicjowanego określonego zapytania DNS. Korelując aktywność DNS z dziennikami uwierzytelniania użytkowników/urządzeń, można śledzić działania do poszczególnych klientów. Ta odpowiedzialność często rozciąga się na zespół obciążeń, zwłaszcza jeśli wdraża wszystkie elementy, które wysyłają żądania DNS do części operacji. Analiza ruchu DNS jest kluczowym aspektem obserwacji zabezpieczeń platformy.
Ważne jest, aby monitorować nieoczekiwane żądania DNS lub żądania DNS kierowane do znanych punktów końcowych poleceń i kontroli.
Kompromis: Rejestrowanie wszystkich działań sieciowych może spowodować dużą ilość danych. Każde żądanie z warstwy 3 można rejestrować w dzienniku przepływu, w tym w każdej transakcji, która przekracza granicę podsieci. Niestety nie można przechwycić tylko zdarzeń niepożądanych, ponieważ można je zidentyfikować tylko po ich wystąpieniu. Podejmij strategiczne decyzje dotyczące typu zdarzeń, aby je przechwycić i jak długo je przechowywać. Jeśli nie jesteś ostrożny, zarządzanie danymi może być przytłaczające. Istnieje również kompromis w zakresie kosztów przechowywania tych danych.
Ze względu na kompromisy należy rozważyć, czy korzyść z monitorowania sieci obciążenia jest wystarczająca, aby uzasadnić koszty. Jeśli masz rozwiązanie aplikacji internetowej z dużym woluminem żądań, a system intensywnie korzysta z zarządzanych zasobów platformy Azure, koszt może przeważyć nad korzyściami. Z drugiej strony, jeśli masz rozwiązanie przeznaczone do używania maszyn wirtualnych z różnymi portami i aplikacjami, może być ważne, aby przechwytywać i analizować dzienniki sieciowe.
Przechwytywanie zmian systemu
Aby zachować integralność systemu, należy mieć dokładny i up-torekord stanu systemu. Jeśli istnieją zmiany, możesz użyć tego rekordu, aby szybko rozwiązać wszelkie występujące problemy.
Procesy kompilacji powinny również emitować dane telemetryczne. Zrozumienie kontekstu zabezpieczeń zdarzeń jest kluczem. Wiedza o tym, co wyzwoliło proces kompilacji, kto go wyzwolił, i kiedy został wyzwolony, może zapewnić cenne szczegółowe informacje.
Śledź , kiedy zasoby są tworzone i kiedy są likwidowane. Te informacje muszą zostać wyodrębnione z platformy. Te informacje zawierają cenne informacje na temat zarządzania zasobami i odpowiedzialności.
Monitorowanie dryfu w konfiguracji zasobów. Dokumentowanie wszelkich zmian w istniejącym zasobie. Należy również śledzić zmiany, które nie są kompletne w ramach wdrożenia do floty zasobów. Dzienniki muszą przechwytywać szczegóły zmiany i dokładny czas jego wystąpienia.
Mieć kompleksowy widok z perspektywy stosowania poprawek, czy system jest up-to-date i secure. Monitoruj rutynowe procesy aktualizacji , aby sprawdzić, czy zostały one ukończone zgodnie z planem. Proces stosowania poprawek zabezpieczeń, który nie został ukończony, powinien zostać uznany za lukę w zabezpieczeniach. Należy również zachować spis, który rejestruje poziomy poprawek i inne wymagane szczegóły.
Wykrywanie zmian dotyczy również systemu operacyjnego. Obejmuje to śledzenie, czy usługi są dodawane, czy wyłączone. Obejmuje również monitorowanie dodawania nowych użytkowników do systemu. Istnieją narzędzia przeznaczone do określania celu systemu operacyjnego. Ułatwiają one monitorowanie bez kontekstu w tym sensie, że nie są one przeznaczone dla funkcji obciążenia. Na przykład monitorowanie integralności plików to krytyczne narzędzie, które umożliwia śledzenie zmian w plikach systemowych.
Należy skonfigurować alerty dotyczące tych zmian, szczególnie jeśli nie spodziewasz się ich często.
Ważne
Podczas wdrażania w środowisku produkcyjnym upewnij się, że alerty są skonfigurowane do przechwytywania nietypowych działań wykrytych w zasobach aplikacji i procesie kompilacji.
W planach testów uwzględnij weryfikację rejestrowania i alertów jako priorytetowe przypadki testowe.
Przechowywanie, agregowanie i analizowanie danych
Dane zebrane z tych działań monitorowania muszą być przechowywane w ujściach danych, gdzie można je dokładnie zbadać, znormalizować i skorelować. Dane zabezpieczeń powinny być utrwalane poza własnymi magazynami danych systemu. Ujścia monitorowania, niezależnie od tego, czy są zlokalizowane, czy centralne, muszą przeżyć źródła danych. Ujścia nie mogą być efemeryczne, ponieważ ujścia są źródłem systemów wykrywania nieautoryzowanych włamań.
Dzienniki sieciowe mogą być pełne i zajmują miejsce do magazynowania. Poznaj różne warstwy w systemach magazynowania. Dzienniki mogą naturalnie przechodzić do chłodniejszego magazynu w czasie. Takie podejście jest korzystne, ponieważ starsze dzienniki przepływu zwykle nie są aktywnie używane i są potrzebne tylko na żądanie. Ta metoda zapewnia wydajne zarządzanie magazynem, zapewniając jednocześnie dostęp do danych historycznych, gdy zajdzie taka potrzeba.
Przepływy obciążenia są zazwyczaj złożone z wielu źródeł rejestrowania. Dane monitorowania muszą być analizowane inteligentnie we wszystkich tych źródłach. Na przykład zapora będzie blokować tylko ruch, który do niego dociera. Jeśli masz sieciową grupę zabezpieczeń, która zablokowała już określony ruch, ruch nie jest widoczny dla zapory. Aby odtworzyć sekwencję zdarzeń, należy agregować dane ze wszystkich składników, które są w przepływie, a następnie agregować dane ze wszystkich przepływów. Te dane są szczególnie przydatne w scenariuszu reagowania po zdarzeniu, gdy próbujesz zrozumieć, co się stało. Dokładne pomiary czasu są niezbędne. W celach bezpieczeństwa wszystkie systemy muszą używać źródła czasu sieciowego, aby zawsze były zsynchronizowane.
Scentralizowane wykrywanie zagrożeń za pomocą skorelowanych dzienników
Można użyć systemu, takiego jak zarządzanie informacjami o zabezpieczeniach i zdarzeniach (SIEM), aby skonsolidować dane zabezpieczeń w centralnej lokalizacji, w której można je skorelować między różnymi usługami. Te systemy mają wbudowane mechanizmy wykrywania zagrożeń . Mogą łączyć się z zewnętrznymi źródłami danych w celu uzyskania danych analizy zagrożeń. Firma Microsoft publikuje na przykład dane analizy zagrożeń, których można użyć. Możesz również kupić źródła danych analizy zagrożeń od innych dostawców, takich jak Anomali i FireEye. Te źródła danych mogą zapewnić cenne szczegółowe informacje i zwiększyć poziom zabezpieczeń. Aby uzyskać szczegółowe informacje o zagrożeniach firmy Microsoft, zobacz Niejawny tester zabezpieczeń.
System SIEM może generować alerty na podstawie skorelowanych i znormalizowanych danych. Te alerty są istotnym zasobem podczas procesu reagowania na zdarzenia.
Systemy SIEM są zwykle zarządzane przez centralne zespoły organizacji. Jeśli twoja organizacja jej nie ma, rozważ jej poparcie. Może to złagodzić obciążenie ręcznej analizy dzienników i korelacji, aby umożliwić bardziej wydajne i skuteczne zarządzanie zabezpieczeniami.
Niektóre ekonomiczne opcje są udostępniane przez firmę Microsoft. Wiele produktów Usługi Microsoft Defender udostępnia funkcję alertów systemu SIEM, ale bez funkcji agregacji danych.
Łącząc kilka mniejszych narzędzi, można emulować niektóre funkcje systemu SIEM. Należy jednak wiedzieć, że te prowizoryczny rozwiązania mogą nie być w stanie przeprowadzić analizy korelacji. Te alternatywy mogą być przydatne, ale mogą nie w pełni zastąpić funkcjonalności dedykowanego systemu SIEM.
Wykrywanie nadużyć
Bądź proaktywny w zakresie wykrywania zagrożeń i czujny pod kątem oznak nadużyć, takich jak ataki siłowe tożsamości na składnik SSH lub punkt końcowy protokołu RDP. Chociaż zagrożenia zewnętrzne mogą generować dużo szumu, zwłaszcza jeśli aplikacja jest narażona na Internet, zagrożenia wewnętrzne są często większym problemem. Na przykład należy natychmiast zbadać nieoczekiwany atak siłowy ze źródła zaufanej sieci lub nieumyślnej nieprawidłowej konfiguracji.
Nadążaj za praktykami w zakresie wzmacniania zabezpieczeń. Monitorowanie nie jest zamiennikiem proaktywnego wzmacniania poziomu środowiska. Większy obszar powierzchni jest podatny na więcej ataków. Zaostrzenie kontrolek tak samo jak praktyka. Wykrywanie i wyłączanie nieużywanych kont, usuwanie nieużywanych portów i używanie zapory aplikacji internetowej, na przykład. Aby uzyskać więcej informacji na temat technik wzmacniania zabezpieczeń, zobacz Zalecenia dotyczące wzmacniania zabezpieczeń.
Wykrywanie oparte na sygnaturach może szczegółowo sprawdzić system. Obejmuje to wyszukiwanie znaków lub korelacji między działaniami, które mogą wskazywać na potencjalny atak. Mechanizm wykrywania może identyfikować pewne cechy wskazujące określony typ ataku. Bezpośrednie wykrywanie mechanizmu poleceń i kontroli ataku może nie zawsze być możliwe. Jednak często istnieją wskazówki lub wzorce skojarzone z określonym procesem poleceń i kontroli. Na przykład atak może być wskazywany przez pewną szybkość przepływu z perspektywy żądania lub często uzyskiwać dostęp do domen, które mają określone zakończenia.
Wykrywanie nietypowych wzorców dostępu użytkowników w celu zidentyfikowania i zbadania odchyleń od oczekiwanych wzorców. Obejmuje to porównanie bieżącego zachowania użytkownika z wcześniejszym zachowaniem w celu wykrycia anomalii. Chociaż wykonanie tego zadania ręcznie może nie być możliwe, można użyć narzędzi do analizy zagrożeń. Zainwestuj w narzędzia analizy zachowań użytkowników i jednostek (UEBA), które zbierają zachowanie użytkowników z danych monitorowania i analizują je. Te narzędzia mogą często wykonywać analizę predykcyjną, która mapuje podejrzane zachowania na potencjalne typy ataków.
Wykrywanie zagrożeń podczas etapów przed wdrożeniem i po wdrożeniu. W fazie wdrażania wstępnego uwzględnij skanowanie luk w zabezpieczeniach w potokach i podejmij niezbędne działania na podstawie wyników. Po wdrożeniu kontynuuj skanowanie luk w zabezpieczeniach. Możesz użyć narzędzi, takich jak Microsoft Defender for Containers, które skanują obrazy kontenerów. Uwzględnij wyniki w zebranych danych. Aby uzyskać informacje na temat bezpiecznych praktyk programistycznych, zobacz Zalecenia dotyczące używania bezpiecznych praktyk wdrażania.
Korzystaj z mechanizmów i miar wykrywania udostępnianych przez platformę. Na przykład usługa Azure Firewall może analizować ruch i blokować połączenia z niezaufanych miejsc docelowych. Platforma Azure udostępnia również sposoby wykrywania i ochrony przed atakami typu "rozproszona odmowa usługi" (DDoS).
Ułatwienia platformy Azure
Usługa Azure Monitor zapewnia wgląd w całe środowisko. Bez konfiguracji automatycznie uzyskujesz metryki platformy, dzienniki aktywności i dzienniki diagnostyczne z większości zasobów platformy Azure. Dzienniki aktywności zawierają szczegółowe informacje diagnostyczne i inspekcji.
Uwaga / Notatka
Dzienniki platformy nie są dostępne w nieskończoność. Należy je zachować, aby można było je później przejrzeć do celów inspekcji lub analizy offline. Użyj kont usługi Azure Storage na potrzeby długoterminowego/archiwalnego magazynu. W usłudze Azure Monitor określ okres przechowywania po włączeniu ustawień diagnostycznych dla zasobów.
Skonfiguruj alerty na podstawie wstępnie zdefiniowanych lub niestandardowych metryk i dzienników, aby otrzymywać powiadomienia po wykryciu określonych zdarzeń lub anomalii związanych z zabezpieczeniami.
Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Monitor.
Usługa Microsoft Defender for Cloud udostępnia wbudowane funkcje wykrywania zagrożeń. Działa na zebranych danych i analizuje dzienniki. Ponieważ jest świadomy typów generowanych dzienników, może używać wbudowanych reguł do podejmowania świadomych decyzji. Na przykład sprawdza listy potencjalnie naruszonych adresów IP i generuje alerty.
Włącz wbudowane usługi ochrony przed zagrożeniami dla zasobów platformy Azure. Na przykład włącz zasoby usługi Microsoft Defender dla platformy Azure, takie jak maszyny wirtualne, bazy danych i kontenery, aby wykrywać i chronić przed znanymi zagrożeniami.
Usługa Defender for Cloud zapewnia możliwości platformy ochrony obciążeń w chmurze (CWPP) na potrzeby wykrywania zagrożeń wszystkich zasobów obciążenia.
Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Defender dla Chmury?.
Alerty generowane przez usługę Defender mogą również być wprowadzane do systemów SIEM. Microsoft Sentinel to natywna oferta. Używa sztucznej inteligencji i uczenia maszynowego do wykrywania zagrożeń bezpieczeństwa i reagowania na nie w czasie rzeczywistym. Zapewnia scentralizowany widok danych zabezpieczeń i ułatwia proaktywne wyszukiwanie zagrożeń i badanie.
Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Sentinel?.
Usługa Microsoft Sentinel może również używać źródeł analizy zagrożeń z różnych źródeł. Aby uzyskać więcej informacji, zobacz Integracja analizy zagrożeń w usłudze Microsoft Sentinel.
Usługa Microsoft Sentinel może analizować zachowanie użytkownika na podstawie danych monitorowania. Aby uzyskać więcej informacji, zobacz Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel.
Usługi Defender i Microsoft Sentinel współpracują ze sobą, mimo że niektóre nakładają się na siebie funkcje. Ta współpraca zwiększa ogólny poziom zabezpieczeń, pomagając zapewnić kompleksowe wykrywanie zagrożeń i reagowanie na nie.
Skorzystaj z usługi Azure Business Continuity Center , aby zidentyfikować luki w infrastrukturze ciągłości działalności biznesowej i bronić przed zagrożeniami, takimi jak ataki wymuszające okup, złośliwe działania i nieautoryzacje administratora. Aby uzyskać więcej informacji, zobacz Co to jest Centrum ciągłości działania platformy Azure?.
Sieć
Przejrzyj wszystkie dzienniki, w tym nieprzetworzonego ruchu, z urządzeń sieciowych.
Dzienniki przepływu sieci wirtualnej. Przejrzyj dzienniki przepływu i dzienniki diagnostyczne.
Azure Network Watcher. Skorzystaj z funkcji przechwytywania pakietów , aby ustawić alerty i uzyskać dostęp do informacji o wydajności w czasie rzeczywistym na poziomie pakietu.
Przechwytywanie pakietów śledzi ruch do i z maszyn wirtualnych. Służy do uruchamiania proaktywnych przechwytywania na podstawie zdefiniowanych anomalii sieci, w tym informacji o włamaniach sieciowych.
Aby zapoznać się z przykładem, zobacz Monitorowanie sieci proaktywnie przy użyciu alertów i usługi Azure Functions przy użyciu funkcji przechwytywania pakietów.
Analiza ruchu umożliwia analizowanie i wzbogacanie dzienników przepływu sieci wirtualnej oraz uzyskiwanie wglądu w przepływ ruchu. Dzięki wbudowanym zapytaniom można uzyskać wgląd w zablokowany ruch, złośliwe przepływy i aktywne porty uwidocznione w Internecie w całej infrastrukturze platformy Azure. Analiza ruchu umożliwia obsługę zabezpieczeń Zero Trust przez włączenie segmentacji, wglądu w przepływy ruchu oraz wykrywanie nietypowych lub nieautoryzowanych działań.
Użyj możliwości zabezpieczeń opartych na sztucznej inteligencji, aby poprawić wykrywanie zagrożeń. Integracja usługi Azure Web Application Firewall z rozwiązaniem Microsoft Security Copilot zapewnia możliwości analizy zagrożeń i reagowania oparte na sztucznej inteligencji na potrzeby zdarzeń zapory aplikacji internetowej zarówno z usługi Azure Front Door, jak i usługi Azure Application Gateway. Usługa Azure Firewall integruje się również z rozwiązaniem Security Copilot w celu zbadania złośliwego ruchu przechwyconego przez funkcję wykrywania i zapobiegania włamaniom (IDPS). |
Tożsamość
Monitoruj zdarzenia ryzyka związane z tożsamościami w przypadku potencjalnie naruszonych tożsamości i koryguj te zagrożenia. Przejrzyj zgłoszone zdarzenia o podwyższonym ryzyku na następujące sposoby:
Użyj raportowania identyfikatorów Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Co to jest usługa Identity Protection? i Identity Protection.
Użyj członków interfejsu API wykrywania ryzyka usługi Identity Protection, aby uzyskać programowy dostęp do wykrywania zabezpieczeń za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz riskDetection i riskyUser.
Microsoft Entra ID używa adaptacyjnych algorytmów uczenia maszynowego, algorytmów heurystycznych i znanych poświadczeń naruszonych (nazw użytkowników i par haseł) do wykrywania podejrzanych akcji związanych z kontami użytkowników. Te pary nazw użytkowników i haseł są udostępniane przez monitorowanie publicznej i ciemnej sieci oraz przez współpracę z badaczami zabezpieczeń, organami ścigania, zespołami ds. zabezpieczeń w firmie Microsoft i innymi osobami.
Azure Pipelines
Metodyka DevOps opowiada się za zarządzaniem zmianami obciążeń za pośrednictwem ciągłej integracji i ciągłego dostarczania (CI/CD). Pamiętaj, aby dodać walidację zabezpieczeń w potokach. Postępuj zgodnie ze wskazówkami opisanymi w temacie Zabezpieczanie usługi Azure Pipelines.
Powiązane linki
- Zalecenia dotyczące projektowania i tworzenia struktury obserwacji
- Niejawny tester zabezpieczeń
- Zalecenia dotyczące wzmacniania zabezpieczeń zasobów
- Zalecenia dotyczące używania bezpiecznych praktyk wdrażania
- Dokumentacja usługi Azure Monitor
- Co to jest Microsoft Defender dla Chmury?
- Co to jest usługa Microsoft Sentinel?
- Integracja analizy zagrożeń w usłudze Microsoft Sentinel
- Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
- Samouczek: rejestrowanie ruchu sieciowego do i z maszyny wirtualnej przy użyciu witryny Azure Portal
- Przechwytywanie pakietów
- Proaktywne monitorowanie sieci za pomocą alertów i usługi Azure Functions przy użyciu funkcji przechwytywania pakietów
- Co to jest usługa Identity Protection?
- Ochrona tożsamości
- riskDetection
- ryzykowny użytkownik
- Dowiedz się, jak dodać ciągłą walidację zabezpieczeń do potoku ciągłej integracji/ciągłego wdrażania
Lista kontrolna zabezpieczeń
Zapoznaj się z pełnym zestawem zaleceń.