Megoldási ötletek
Ez a cikk egy megoldási ötlet. Ha azt szeretné, hogy további információkkal bővítsük a tartalmat, például a lehetséges használati eseteket, alternatív szolgáltatásokat, megvalósítási szempontokat vagy díjszabási útmutatást, a GitHub visszajelzésével tudassa velünk.
Ez a cikk bemutatja, hogyan ábrázolhatja a szervezet alapvető informatikai környezetét, és hogyan fejleszthet fenyegetéstérképet. Ezek a diagramok segítenek megtervezni és felépíteni a védelmi védelmi réteget. Az informatikai környezet és annak kialakításának megértése elengedhetetlen ahhoz, hogy meghatározhassa a környezet által a szükséges védelmi szintekhez szükséges biztonsági szolgáltatásokat.
A számítógépes rendszerek olyan információkat tartalmaznak, amelyek értékesek az azt előállító szervezetek és a rosszindulatú szereplők számára. A rosszindulatú szereplők lehetnek olyan személyek vagy személyek csoportja, akik rosszindulatú cselekedeteket hajtanak végre egy személy vagy szervezet ellen. Erőfeszítéseik kárt okozhatnak a vállalatok számítógépeinek, eszközeinek, rendszereinek és hálózatainak. Céljaik az értékes információk feltöréséhez vagy ellopásához olyan fenyegetésekkel, mint a kártevők vagy a találgatásos támadások.
Ebben a cikkben bemutatjuk, hogyan térképezheti fel az informatikai környezettel szembeni fenyegetéseket, hogy megtervezhesse, hogyan használhatja a Microsoft biztonsági szolgáltatásait a biztonsági stratégia megvalósítására. Ez az öt cikkből álló sorozat második cikke, amely az Azure monitorozásának biztonsági összetevőinek integrálására való használatát ismerteti.
A jó hír az, hogy nem kell teljesen új fenyegetéstérképet létrehoznia. A MITRE ATT&CK mátrix nagyszerű megoldás a fenyegetéstérképek fejlesztéséhez. A MITRE ATT&CK egy globális tudásadatbázis, amely a valós világban megfigyelt taktikán és technikákon alapuló fenyegetéseket térképozza fel. A MITRE Corporation minden elérhető fenyegetést katalógusba vesz, és számos részletet fedez fel arról, hogyan működnek ezek a fenyegetések, és hogyan védheti meg őket. Ez egy nyilvános szolgáltatás, amelyet online érhet el a MITRE ATT&CK-ban ®.
Ez a cikk ezeknek a fenyegetéseknek egy részhalmazával mutat be egy példát arra, hogyan képezheti le a fenyegetéseket az informatikai környezettel szemben.
Lehetséges használati esetek
Egyes fenyegetések az iparági szegmenstől függetlenül széles körben elterjedtek, például zsarolóprogramok, DDoS-támadások, helyek közötti szkriptelés, SQL-injektálás stb. Egyes szervezeteknek azonban aggályaik vannak az iparágukra jellemző konkrét fenyegetéstípusokkal kapcsolatban, vagy amelyek a tapasztalt kibertámadások alapjai voltak. Az ebben a cikkben bemutatott diagram segíthet a szervezet ilyen fenyegetéseinek feltérképezésében annak a területnek megfelelően, amelyet a rosszindulatú szereplők valószínűleg megtámadnak. A fenyegetéstérképek fejlesztése segít megtervezni azokat a védelmi rétegeket, amelyek a biztonságosabb környezethez szükségesek.
Ezt a diagramot a támadások különböző kombinációival is használhatja, hogy megértse, hogyan kerülheti el és mérsékelheti ezeket a támadásokat. Nem feltétlenül kell használnia a MITRE ATT&CK keretrendszert. A keretrendszer csak egy példa. A Microsoft Sentinel és más Microsoft biztonsági szolgáltatások együttműködtek a MITRE-vel, hogy betekintést nyerjenek a fenyegetésekbe.
Egyes szervezetek a Lockheed Martin módszertana, a Cyber Kill Chain® használatával térképezik fel és értelmezik, hogyan hajtanak végre támadásokat vagy támadássorozatokat egy informatikai környezet ellen. A Cyber Kill Chain úgy szervezi a fenyegetéseket és támadásokat, hogy kevesebb taktikát és technikát mérlegel, mint a MITRE ATT&CK-keretrendszer. Ennek ellenére hatékony segítséget nyújt a fenyegetések és azok végrehajtásának megértésében. Erről a módszertanról további információt a Cyber Kill Chain című témakörben talál.
Architektúra
Töltse le az architektúra Visio-fájlját.
©2021 A MITRE Corporation. Ezt a munkát a MITRE Corporation engedélyével reprodukálják és terjesztik.
A szervezetek informatikai környezetében csak az Azure-hoz és a Microsoft 365-höz adhatja meg az összetevőket. Az adott informatikai környezet tartalmazhat különböző technológiai szolgáltatóktól származó eszközöket, berendezéseket és technológiákat.
Az Azure-környezetben a diagram az alábbi táblázatban felsorolt összetevőket mutatja be.
| Címke | Dokumentáció |
|---|---|
| Virtuális hálózat | Mi az Azure Virtual Network? |
| LBS | Mi az Azure Load Balancer? |
| PIP | Nyilvános IP-címek |
| Standard kiadás RVERS | Virtuális gépek |
| K8S | Azure Kubernetes Service |
| VDI | Mi az Az Azure Virtual Desktop? |
| WEBALKALMAZÁSOK | Az App Service áttekintése |
| AZURE STORAGE | A Microsoft Azure Storage bemutatása |
| DB | Mi az Azure SQL Database? |
| Microsoft Entra ID | Mi a Microsoft Entra-azonosító? |
A diagram a Microsoft 365-öt ábrázolja az alábbi táblázatban felsorolt összetevőkön keresztül.
| Címke | Leírás | Dokumentáció |
|---|---|---|
| OFFICE 365 | Microsoft 365-szolgáltatások (korábban Office 365). A Microsoft 365 által elérhetővé tesz alkalmazások a licenc típusától függenek. | Microsoft 365 – Office Apps-előfizetés |
| Microsoft Entra ID | Microsoft Entra ID, ugyanaz, amelyet az Azure használ. Sok vállalat ugyanazt a Microsoft Entra szolgáltatást használja az Azure-hoz és a Microsoft 365-höz. | Mi a Microsoft Entra-azonosító? |
Munkafolyamat
A jelen cikkben szereplő architektúradiagram egy helyszíni rendszerekkel, Microsoft 365-előfizetéssel és Azure-előfizetéssel rendelkező szervezet tipikus informatikai környezetén alapul, amely segít megérteni, hogy az informatikai környezet mely részét fenyegeti a fenyegetés. Az egyes rétegek erőforrásai olyan szolgáltatások, amelyek sok vállalat számára gyakoriak. A diagramban a Microsoft Teljes felügyelet alappillérei szerint vannak besorolva: hálózat, infrastruktúra, végpont, alkalmazás, adatok és identitás. A Teljes felügyelet kapcsolatos további információkért lásd: Proaktív biztonság Teljes felügyelet.
Az architektúradiagram a következő rétegeket tartalmazza:
A helyszínen
A diagram néhány alapvető szolgáltatást tartalmaz, például a kiszolgálókat (virtuális gépeket), a hálózati berendezéseket és a DNS-t. Olyan gyakori alkalmazásokat tartalmaz, amelyek a legtöbb informatikai környezetben találhatók, és virtuális gépeken vagy fizikai kiszolgálókon futnak. Emellett különböző típusú adatbázisokat is tartalmaz, az SQL-t és a nem SQL-t is. A szervezetek általában rendelkeznek olyan fájlkiszolgálóval, amely a vállalat teljes területén fájlokat oszt meg. Végül a Active Directory-tartomány szolgáltatás, amely széles körben elterjedt infrastruktúra-összetevő, kezeli a felhasználói hitelesítő adatokat. A diagram a helyszíni környezet összes összetevőjét tartalmazza.
Office 365-környezet
Ez a példakörnyezet olyan hagyományos irodai alkalmazásokat tartalmaz, mint a Word, az Excel, a PowerPoint, az Outlook és a OneNote. A licenc típusától függően más alkalmazásokat is tartalmazhat, például a OneDrive-ot, az Exchange-et, a SharePointot és a Teamst. A diagramon a Microsoft 365 -ös (korábban Office 365-ös) alkalmazások ikonja és a Microsoft Entra-azonosító ikonja látható. A Microsoft 365-alkalmazásokhoz való hozzáféréshez hitelesíteni kell a felhasználókat, és a Microsoft Entra ID identitásszolgáltatóként működik. A Microsoft 365 ugyanazzal a Microsoft Entra-azonosítóval hitelesíti a felhasználókat, mint amelyet az Azure használ. A legtöbb szervezetben a Microsoft Entra ID-bérlő az Azure-ban és a Microsoft 365-ben is ugyanaz.
Azure-környezet
Ez a réteg az Azure nyilvános felhőszolgáltatásait képviseli, beleértve a virtuális gépeket, a virtuális hálózatokat, a szolgáltatások platformjait, a webalkalmazásokat, az adatbázisokat, a tárterületeket, az identitásszolgáltatásokat stb. Az Azure-ról további információt az Azure dokumentációjában talál.
MITRE ATT&CK taktikák és technikák
Ez az ábra a 16 leggyakoribb fenyegetést mutatja be a MITRE Corporation által közzétett taktikák és technikák szerint. Piros vonalakban egy vegyes támadásra láthat példát, ami azt jelenti, hogy egy rosszindulatú szereplő egyszerre több támadást is koordinálhat.
A MITRE ATT&CK keretrendszer használata
Kezdje egy egyszerű kereséssel a fenyegetés vagy a támadási kód nevére a fő weblapon, a MITRE ATT&CK-n®.
A fenyegetéseket a taktikák vagy technikák oldalán is böngészheti:
Továbbra is használhatja a MITRE ATT&CK® Navigátort, a MITRE által biztosított intuitív eszközt, amely segít felderíteni a taktikákat, technikákat és a fenyegetések részleteit.
Összetevők
A cikkben szereplő példaarchitektúra a következő Azure-összetevőket használja:
A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás. A Microsoft Entra ID segítségével a felhasználók hozzáférhetnek külső erőforrásokhoz, például a Microsoft 365-höz, az Azure Portalhoz és több ezer más SaaS-alkalmazáshoz. Emellett segít a belső erőforrások, például a vállalati intranetes hálózaton lévő alkalmazások elérésében.
Az Azure Virtual Network az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Azure-erőforrástípus számára teszi lehetővé az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációt. A Virtuális hálózat olyan virtuális hálózatot biztosít, amely az Azure infrastruktúrájának előnyeit biztosítja, például a skálázást, a rendelkezésre állást és az elkülönítést.
Az Azure Load Balancer egy nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztási szolgáltatás (bejövő és kimenő) az összes UDP- és TCP-protokollhoz. Másodpercenként több millió kérés kezelésére készült, miközben biztosítja, hogy a megoldás magas rendelkezésre állású legyen. Az Azure Load Balancer zónaredundáns, így magas rendelkezésre állást biztosít a rendelkezésre állási zónák között.
A virtuális gépek egyike az Azure által kínált, igény szerinti, méretezhető számítási erőforrásoknak. Egy Azure-beli virtuális gép (VM) lehetővé teszi a virtualizálás rugalmasságát anélkül, hogy meg kellene vásárolnia és fenntartania az azt futtató fizikai hardvert.
Az Azure Kubernetes service (AKS) egy teljes körűen felügyelt Kubernetes-szolgáltatás a tárolóalapú alkalmazások üzembe helyezéséhez és kezeléséhez. Az AKS kiszolgáló nélküli Kubernetes-t, folyamatos integrációt/folyamatos teljesítést (CI/CD) és nagyvállalati szintű biztonságot és irányítást biztosít.
Az Azure Virtual Desktop egy asztali és alkalmazásvirtualizálási szolgáltatás, amely a felhőben fut, hogy asztalokat biztosítson a távoli felhasználók számára.
A Web Apps egy HTTP-alapú szolgáltatás webalkalmazások, REST API-k és mobil háttérrendszerek üzemeltetésére. A kedvenc nyelven fejleszthet, és az alkalmazások windowsos és Linux-alapú környezetekben is könnyedén futnak és méretezhetők.
Az Azure Storage magas rendelkezésre állású, nagymértékben méretezhető, tartós és biztonságos tároló a felhőben található különböző adatobjektumokhoz, beleértve az objektumokat, blobokat, fájlokat, lemezeket, üzenetsorokat és táblatárolókat. Az Azure Storage-fiókba írt összes adatot a szolgáltatás titkosítja. Az Azure Storage használatával részletesen szabályozhatja, hogy ki férhet hozzá az adatokhoz.
Az Azure SQL Database egy teljes mértékben felügyelt PaaS-adatbázismotor, amely kezeli az adatbázis-kezelési funkciók többségét, például a frissítést, a javítást, a biztonsági mentéseket és a monitorozást. Felhasználói beavatkozás nélkül biztosítja ezeket a függvényeket. Az SQL Database számos beépített biztonsági és megfelelőségi funkciót biztosít, amelyek segítenek az alkalmazásnak megfelelni a biztonsági és megfelelőségi követelményeknek.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Rudnei Oliveira | Vezető ügyfélmérnök
Egyéb közreműködők:
- Gary Moore | Programozó/író
- Andrew Nathan | Vezető ügyfélmérnöki vezető
Következő lépések
Ez a dokumentum néhány szolgáltatásra, technológiára és terminológiára hivatkozik. Ezekről az alábbi forrásokban talál további információt:
- MITRE ATT&CK®
- ATT&CK® Kezelő)
- Nyilvános előzetes verzió: A MITRE ATT&CK-keretrendszer panelje a Microsoft Sentinelben, az Azure Cloud & AI Domain blog bejegyzése
- A cyber kill lánc®
- Proaktív biztonság Teljes felügyelet
- Kevert fenyegetés a Wikipédián
- Hogyan változnak a kibertámadások a Microsoft Security Blog új Microsoft Digitális védelmi jelentés szerint
Kapcsolódó erőforrások
A referenciaarchitektúra további részleteiért tekintse meg a sorozat többi cikkét:
- 1. rész: Biztonsági összetevők integrálása az Azure Monitorozás használatával
- 3. rész: Az első védelmi réteg létrehozása az Azure Security-szolgáltatásokkal
- 4. rész: A második védelmi réteg kiépítése a Microsoft Defender XDR Biztonsági szolgáltatásokkal
- 5. rész: Az Azure és a Microsoft Defender XDR biztonsági szolgáltatásainak integrálása