Az Azure Firewall és a Microsoft Sentinel áttekintése
Mostantól észlelést és megelőzést is kaphat egy könnyen üzembe helyezhető Azure Firewall-megoldás formájában az Azure Sentinelhez.
A biztonság állandó egyensúly a proaktív és reaktív védelem között. Mindkettő egyformán fontos, és egyiket sem lehet elhanyagolni. A szervezet hatékony védelme a megelőzés és az észlelés folyamatos optimalizálását jelenti.
A megelőzés és az észlelés kombinálásával gondoskodhat arról, hogy mindkét esetben megelőzze a kifinomult fenyegetéseket, miközben fenntartja a szabálysértési mentalitást a kibertámadások észleléséhez és gyors reagálásához.
Előfeltételek
- An Azure account with an active subscription. Fiók ingyenes létrehozása.
Főbb funkciók
Amikor integrálja az Azure Firewallt a Microsoft Sentinellel, a következő képességeket engedélyezi:
- Azure Firewall-tevékenységek monitorozása és vizualizációja
- Fenyegetések észlelése és mesterséges intelligenciával támogatott vizsgálati képességek alkalmazása
- Válaszok és korreláció automatizálása más forrásokhoz
A teljes felület megoldásként van csomagolva a Microsoft Sentinel piactéren, ami azt jelenti, hogy viszonylag könnyen üzembe helyezhető.
Az Azure Firewall-megoldás üzembe helyezése és engedélyezése a Microsoft Sentinelhez
A megoldást gyorsan üzembe helyezheti a Tartalomközpontból. A Microsoft Sentinel-munkaterületen válassza az Elemzés, majd a További tartalmak lehetőséget a Content Hubon. Keresse meg és válassza ki az Azure Firewallt , majd válassza a Telepítés lehetőséget.
A telepítés után válassza a Kezelés elemet, kövesse a varázsló összes lépését, adjon át érvényesítést, és hozza létre a megoldást. Néhány kijelöléssel minden tartalom, beleértve az összekötőket, az észleléseket, a munkafüzeteket és a forgatókönyveket is üzembe helyezi a Microsoft Sentinel-munkaterületen.
Azure Firewall-tevékenységek monitorozása és vizualizációja
Az Azure Firewall-munkafüzet lehetővé teszi az Azure Firewall-események megjelenítését. Ezzel a munkafüzettel a következőt teheti:
- Tudnivalók az alkalmazásról és a hálózati szabályokról
- A tűzfaltevékenységek statisztikáinak megtekintése URL-címeken, portokon és címeken
- Szűrés tűzfal és erőforráscsoport szerint
- Dinamikus szűrés kategóriánként könnyen olvasható adatkészletekkel a naplókban szereplő probléma kivizsgálásakor.
A munkafüzet egyetlen irányítópultot biztosít a tűzfaltevékenység folyamatos figyeléséhez. A fenyegetésészlelés, a vizsgálat és a reagálás terén az Azure Firewall-megoldás beépített észlelési és vadászati képességeket is biztosít.
Fenyegetések észlelése és mesterséges intelligenciával támogatott vizsgálati képességek használata
A megoldás észlelési szabályai hatékony módszert biztosítanak a Microsoft Sentinel számára az Azure Firewall-jelek elemzéséhez a hálózaton áthaladó rosszindulatú tevékenységmintákat jelző forgalom észleléséhez. Ez lehetővé teszi a fenyegetések gyors reagálását és elhárítását.
A támadási fázisok, amelyeket egy támadó a tűzfalmegoldáson belül folytat, a MITRE ATT&CK-keretrendszer alapján szegmentáltak. A MITRE-keretrendszer olyan lépések sorozata, amelyek nyomon követik a kibertámadás szakaszait a korai felderítési szakaszoktól az adatok kiszivárgásaig. A keretrendszer segít a jogvédőknek megérteni és leküzdeni a zsarolóprogramokat, a biztonsági incidenseket és a speciális támadásokat.
A megoldás olyan gyakori forgatókönyvek észlelését tartalmazza, amelyek során a támadók a támadás részeként használhatják a felderítési fázistól (a rendszerről és a belső hálózatról való ismeretek megszerzésétől) a parancs- és vezérlési (C2) szakaszon keresztül (a feltört rendszerekkel való kommunikáció az irányításuk érdekében) a kiszűrési szakaszig (a szervezettől adatokat próbáló támadókig).
| Észlelési szabály | Mire használható? | Mit jelez? |
|---|---|---|
| Portvizsgálat | Az Azure Firewall több nyitott portjának forrás IP-vizsgálatát azonosítja. | A portok támadó általi rosszindulatú vizsgálata, amely megpróbálja felfedni a szervezetben a nyílt portokat, amelyek a kezdeti hozzáférés szempontjából feltörhetők. |
| Portseprő | Azonosítja a forrás IP-címét, amely ugyanazokat a nyitott portokat vizsgálja az Azure Firewall különböző IP-címén. | Egy port rosszindulatú vizsgálata egy támadó által, amely bizonyos sebezhető portokkal rendelkező IP-címeket próbál felfedni a szervezetben. |
| A forrás IP-cím rendellenes megtagadási aránya | Egy adott forrás IP-cím rendellenes megtagadási arányát azonosítja egy cél IP-címre a gépi tanulás alapján, amely egy konfigurált időszakban történik. | Lehetséges exfiltráció, kezdeti hozzáférés vagy C2, ahol a támadó megpróbálja kihasználni ugyanazt a biztonsági rést a szervezet gépein, de az Azure Firewall szabályai letiltják azt. |
| Rendellenes port a protokollhoz | Egy jól ismert protokoll kommunikációját azonosítja egy nem szabványos porton, a tevékenységidőszakban végzett gépi tanulás alapján. | Rosszindulatú kommunikáció (C2) vagy a támadók által az ismert portokon (SSH, HTTP) keresztül kommunikálni próbáló támadók általi kiszivárgás, de nem használják a portszámnak megfelelő ismert protokollfejléceket. |
| Több, ugyanazon TI-célhely által érintett forrás | Több gépet azonosít, amelyek az Azure Firewall fenyegetésintelligencia (TI) által blokkolt célhelyre próbálnak eljutni. | A szervezet elleni támadást ugyanaz a támadási csoport próbálja kiszűrni a szervezetből. |
Veszélyforrás-keresési lekérdezések
A keresési lekérdezések olyan eszközök, amelyek segítségével a biztonsági kutató fenyegetéseket kereshet a szervezet hálózatában, akár incidens bekövetkezése után, akár proaktív módon új vagy ismeretlen támadások felderítésére. Ehhez a biztonsági kutatók számos kompromisszumos mutatót (IOC-t) vizsgálnak. Az Azure Firewall-megoldás beépített Azure Sentinel-keresési lekérdezései olyan eszközöket biztosítanak a biztonsági kutatóknak, amelyekre szükségük van a tűzfalnaplókban található nagy hatású tevékenységek megtalálásához. Számos példa:
| Keresési lekérdezés | Mire használható? | Mit jelez? |
|---|---|---|
| Első alkalommal, amikor egy forrás IP-cím csatlakozik a célporthoz | Segít azonosítani egy támadás (IOA) gyakori jelzését, amikor egy új gazdagép vagy IP egy adott port használatával próbál kommunikálni egy célhellyel. | A rendszeres forgalom egy adott időszakban történő megismerése alapján. |
| Első alkalommal csatlakozik a forrás IP-címe egy célhoz | Segít azonosítani az IOA-t, ha a rosszindulatú kommunikáció első alkalommal történik olyan gépekről, amelyek korábban még nem fértek hozzá a célhoz. | A rendszeres forgalom egy adott időszakban történő megismerése alapján. |
| A forrás IP-cím rendellenesen több célhelyhez csatlakozik | Olyan forrás IP-címet azonosít, amely rendellenesen kapcsolódik több célhelyhez. | Azt jelzi, hogy a támadók kezdeti hozzáférési kísérleteket próbálnak elérni a szervezet különböző gépei között, kihasználva az oldalirányú mozgási útvonalat vagy ugyanazt a biztonsági rést a különböző gépeken, hogy sebezhető gépeket találjanak a hozzáféréshez. |
| Nem gyakori port a szervezet számára | Azonosítja a szervezeti hálózaton használt rendellenes portokat. | A támadók megkerülhetik a figyelt portokat, és nem gyakori portokon keresztül küldhetnek adatokat. Ez lehetővé teszi a támadók számára, hogy elkerülik a rutinészlelési rendszerekből való észlelést. |
| Nem gyakori portkapcsolat a cél IP-címéhez | Azonosítja a gépek által a cél IP-címhez való csatlakozáshoz használt rendellenes portokat. | A támadók megkerülhetik a figyelt portokat, és nem gyakori portokon keresztül küldhetnek adatokat. Ez azt is jelezheti, hogy a szervezet gépei olyan portot használnak, amelyet soha nem használtak a gépen kommunikációra. |
Más forrásokra adott válasz és korreláció automatizálása
Végül az Azure Firewall azure Sentinel-forgatókönyveket is tartalmaz, amelyek lehetővé teszik a fenyegetésekre való reagálás automatizálását. Tegyük fel például, hogy a tűzfal naplóz egy eseményt, amikor egy adott eszköz a hálózaton http protokollon keresztül próbál kommunikálni az internettel egy nem szabványos TCP-porton keresztül. Ez a művelet észlelést indít el az Azure Sentinelben. A forgatókönyv automatikusan értesíti a biztonsági műveleti csapatot a Microsoft Teamsen keresztül, és a biztonsági elemzők egyetlen kijelöléssel blokkolhatják az eszköz forrás IP-címét. Ez megakadályozza, hogy hozzáférjen az internethez, amíg a vizsgálat befejeződik. A forgatókönyvek lehetővé teszik, hogy ez a folyamat sokkal hatékonyabb és gördülékenyebb legyen.
Valós példa
Nézzük meg, hogyan néz ki a teljesen integrált megoldás egy valós forgatókönyvben.
Az Azure Firewall általi támadás és kezdeti megelőzés
A vállalat értékesítési képviselője véletlenül megnyitott egy adathalász e-mailt, és megnyitott egy kártevőt tartalmazó PDF-fájlt. A kártevő azonnal megpróbál csatlakozni egy rosszindulatú webhelyhez, de az Azure Firewall letiltja azt. A tűzfal az általa használt Microsoft fenyegetésfelderítési hírcsatornával észlelte a tartományt.
A válasz
A kapcsolati kísérlet észlelést indít el az Azure Sentinelben, és elindítja a forgatókönyv automatizálási folyamatát, amely egy Teams-csatornán keresztül értesíti a biztonsági műveleti csapatot. Ott az elemző letilthatja a számítógépet az internettel való kommunikációban. A biztonsági műveleti csapat ezután értesíti az informatikai részleget, amely eltávolítja a kártevőt az értékesítési képviselő számítógépéről. A proaktív megközelítést figyelembe véve azonban a biztonsági kutató alkalmazza az Azure Firewall keresési lekérdezéseit, és rendellenesen futtatja a forrás IP-címet, amely több célhoz csatlakozik. Ez azt mutatja, hogy a fertőzött számítógépen lévő kártevők több más eszközzel próbáltak kommunikálni a szélesebb hálózaton, és megpróbálták elérni többüket. Az egyik ilyen hozzáférési kísérlet sikeres volt, mivel nem volt megfelelő hálózati szegmentálás a hálózat oldalirányú mozgásának megakadályozásához, és az új eszköznek ismert sebezhetősége volt, amelyet a kártevő kihasznált, hogy megfertőzze.
Az eredmény
A biztonsági kutató eltávolította a kártevőt az új eszközről, befejezte a támadás mérséklését, és felfedezte a folyamat hálózati gyengeségét.