您現在可以獲得既提供偵測又提供預防的 Azure Firewall 解決方案,且該方案易於為 Azure Sentinel 部署。
安全性是主動防禦和被動防禦之間的持續平衡。 它們都同樣重要,都不能忽視。 有效保護您的組織意味著不斷優化預防和檢測。
結合預防和偵測,可讓您確保盡可能防止複雜的威脅,同時保持假設 的外洩心態 ,以偵測和快速回應網路攻擊。
先決條件
- 具有有效訂閱的 Azure 帳戶。 免費建立帳戶。
主要功能
當您將 Azure 防火牆與 Microsoft Sentinel 整合時,您可以啟用下列功能:
- 監視和視覺化 Azure 防火牆活動
- 偵測威脅並套用 AI 輔助調查功能
- 自動化回應並與其他來源建立關聯
整個體驗被打包為 Microsoft Sentinel 市集中的解決方案,這意味著它可以相對輕鬆地部署。
部署並啟用適用於 Microsoft Sentinel 的 Azure 防火牆解決方案
您可以從內容中樞快速部署解決方案。 從您的 Microsoft Sentinel 工作區中,選取 [分析],然後選取 [內容中樞中的更多內容]。 搜尋並選取 [Azure 防火牆],然後選取 [安裝]。
安裝之後,選取 [管理] ,遵循精靈中的所有步驟,通過驗證,然後建立解決方案。 只要選取幾個選項,包括連接器、偵測、活頁簿和劇本的所有內容,都會部署在 Microsoft Sentinel 工作區中。
監視和視覺化 Azure 防火牆活動
Azure 防火牆活頁簿可讓您視覺化 Azure 防火牆事件。 使用此活頁簿,您可以:
- 瞭解您的應用程式和網路規則
- 查看跨 URL、連接埠和位址的防火牆活動統計資料
- 依防火牆和資源群組篩選
- 在調查日誌中的問題時,使用易於讀取的資料集動態篩選每個類別。
活頁簿提供單一儀表板,可持續監控防火牆活動。 在威脅偵測、調查和回應方面,Azure 防火牆解決方案也提供內建的偵測和搜捕功能。
偵測威脅並使用 AI 輔助調查功能
解決方案的偵測規則為 Microsoft Sentinel 提供強大的方法來分析 Azure 防火牆訊號,以偵測代表透過網路的惡意活動模式的流量。 這允許快速響應和修復威脅。
攻擊者在防火牆解決方案中進行的攻擊階段是根據 MITRE ATT&CK 框架進行分段的。 MITRE 框架是一系列步驟,可追蹤網路攻擊從早期偵察階段到資料外洩的各個階段。 該框架可幫助防禦者了解和應對勒索軟件、安全漏洞和高級攻擊。
該解決方案包括對敵人可能用作攻擊一部分的常見場景的檢測,從發現階段(獲取有關系統和內部網路的知識)到命令和控制 (C2) 階段(與受感染的系統通訊以控制它們)到外洩階段(對手試圖從組織竊取數據)。
| 偵測規則 | 用途 | 它表示什麼? |
|---|---|---|
| 連接埠掃描 | 識別在 Azure 防火牆上掃描多個開啟連接埠的來源 IP。 | 攻擊者惡意掃描埠,試圖揭示組織中可能因初始存取而遭到入侵的開放埠。 |
| 連接埠掃掠 | 識別在 Azure 防火牆不同 IP 上掃描相同開啟連接埠的來源 IP。 | 攻擊者進行惡意端口掃描,試圖找出組織中具有開放特定易受攻擊端口的 IP。 |
| 來源IP的異常拒絕率 | 根據在配置期間內完成的機器學習,識別特定來源 IP 對目的地 IP 的異常拒絕率。 | 潛在外洩、初始存取或 C2,攻擊者會嘗試利用組織中電腦上的相同弱點,但 Azure 防火牆規則會進行封鎖。 |
| 對通訊協定的異常連接埠 | 根據活動期間完成的機器學習,識別透過非標準連接埠之已知通訊協定的通訊。 | 攻擊者嘗試透過已知連接埠 (SSH、HTTP) 進行通訊的惡意通訊 (C2) 或外洩,但不會使用符合連接埠號碼的已知通訊協定標頭。 |
| 受相同 TI 目的地影響的多個來源 | 識別嘗試連線到 Azure 防火牆中威脅情報 (TI) 封鎖的相同目的地的多部電腦。 | 同一攻擊群組對組織的攻擊,試圖從組織竊取資料。 |
狩獵查詢
搜捕查詢是安全性研究人員尋找組織網路威脅的工具,無論是事件發生後,還是主動探索新的或未知的攻擊。 為此,安全研究人員會研究幾個入侵指標 (IOC)。 Azure 防火牆解決方案中的內建 Azure Sentinel 搜捕查詢可讓安全性研究人員從防火牆記錄中尋找高影響力活動所需的工具。 幾個例子包括:
| 搜補查詢 | 用途 | 它表示什麼? |
|---|---|---|
| 來源IP首次連線到目的地埠 | 當新主機或 IP 嘗試使用特定埠與目的地通訊時,有助於識別攻擊 (IOA) 的常見指示。 | 基於對指定時段內常規流量的學習。 |
| 來源 IP 第一次連線到目的地 | 第一次從以前從未存取的目的地電腦完成惡意通訊時,協助識別 IOA。 | 基於對指定時段內常規流量的學習。 |
| 來源IP異常連線到多個目的地 | 識別異常連線到多個目的地的來源 IP。 | 表示攻擊者嘗試在組織中的不同電腦之間跳轉的初始存取嘗試,利用橫向移動路徑或不同電腦上的相同弱點來尋找要存取的易受攻擊的電腦。 |
| 組織使用的不常見端口 | 識別組織網路中使用的異常埠。 | 攻擊者可以繞過受監控的連接埠並透過不常見的連接埠發送資料。 這使得攻擊者能夠逃避常規檢測系統的檢測。 |
| 目的地 IP 的不常見連接埠連線 | 識別機器用來連線至目的地 IP 的異常連接埠。 | 攻擊者可以繞過受監控的連接埠並透過不常見的連接埠發送資料。 這也表示組織中電腦的外洩攻擊,方法是使用電腦上從未用於通訊的連接埠。 |
自動回應並關聯到其他來源
最後,Azure 防火牆也包含 Azure Sentinel 劇本,可讓您自動回應威脅。 例如,假設防火牆記錄網路上的特定裝置嘗試透過非標準 TCP 連接埠透過 HTTP 通訊協定與網際網路通訊的事件。 此動作會在 Azure Sentinel 中觸發偵測。 劇本會透過 Microsoft Teams 自動通知安全性作業小組,而安全性分析師可以使用單一選取項目來封鎖裝置的來源 IP 位址。 這會阻止它訪問 Internet,直到調查完成。 操作手冊使這個過程更加高效和精簡。
真實世界的例子
讓我們看看完全整合的解決方案在現實場景中的樣子。
Azure 防火牆的攻擊和初始防護
該公司的一名銷售代表不小心打開了一封釣魚電子郵件,並打開了一個包含惡意軟件的 PDF 文件。 惡意代碼會立即嘗試連線到惡意網站,但 Azure 防火牆會封鎖它。 防火牆使用其取用的 Microsoft 威脅情報摘要偵測到網域。
回應
連線嘗試會在 Azure Sentinel 中觸發偵測,並啟動劇本自動化程式,以透過 Teams 通道通知安全性作業小組。 在那裡,分析師可以阻止計算機與 Internet 通信。 然後,安全運營團隊通知 IT 部門,該部門從銷售代表的計算機中刪除惡意軟件。 不過,安全性研究人員會採用主動式方法並深入檢視,套用 Azure 防火牆搜捕查詢,並執行 來源 IP 異常連線到多個目的地 查詢。 這表明受感染計算機上的惡意軟件試圖與更廣泛網絡上的其他幾台設備進行通信,並試圖訪問其中幾台設備。 其中一次訪問嘗試成功了,因為沒有適當的網絡分段來防止網絡中的橫向移動,並且新設備存在惡意軟件利用來感染它的已知漏洞。
結果
安全研究人員從新設備中刪除了惡意軟件,完成了緩解攻擊,並在此過程中發現了網絡弱點。