Javaslatok monitorozásra és fenyegetésészlelésre
Az Azure Well-Architected Framework Security ellenőrzőlista-javaslatára vonatkozik:
SE:10 | Implementáljon egy holisztikus monitorozási stratégiát, amely a platformmal integrálható modern fenyegetésészlelési mechanizmusokra támaszkodik. A mechanizmusoknak megbízhatóan riasztást kell küldeniük az osztályozáshoz, és jeleket kell küldeniük a meglévő SecOps-folyamatokba. |
---|
Ez az útmutató a figyeléshez és a fenyegetésészleléshez szükséges javaslatokat ismerteti. A monitorozás alapvetően a már megtörtént eseményekre vonatkozó információk lekérésének folyamata. A biztonsági monitorozás egy olyan gyakorlat, amely a számítási feladat különböző magasságában (infrastruktúra, alkalmazás, műveletek) rögzíti az információkat a gyanús tevékenységek megismerése érdekében. A cél az incidensek előrejelzése és a múltbeli eseményekből való tanulás. A monitorozási adatok az incidens utáni elemzés alapjául szolgálnak az incidensek elhárításához és a törvényszéki vizsgálatokhoz.
A monitorozás egy olyan működési kiválósági megközelítés, amely az összes Well-Architected keretrendszer pillérére vonatkozik. Ez az útmutató csak biztonsági szempontból nyújt javaslatokat. A figyelés általános fogalmai, mint például a kódrendszerezés, az adatgyűjtés és az elemzés, nem terjednek ki erre az útmutatóra. Az alapvető monitorozási fogalmakkal kapcsolatos információkért lásd: A megfigyelhetőségi keretrendszer tervezésére és létrehozására vonatkozó javaslatok.
Definíciók
Időszak | Definíció |
---|---|
Naplók | A rendszer tevékenységeinek rekordja. |
Biztonságiadat- és eseménykezelés (SIEM) | Olyan megközelítés, amely beépített fenyegetésészlelési és felderítési képességeket használ a több forrásból összesített adatok alapján. |
Fenyegetések észlelése | A várt műveletektől való eltérések észlelésére szolgáló stratégia összegyűjtött, elemezett és korrelált adatok használatával. |
Fenyegetésészlelési intelligencia | Stratégia a fenyegetésészlelési adatok értelmezésére a gyanús tevékenységek vagy fenyegetések észleléséhez a minták vizsgálatával. |
Veszélyforrások megelőzése | A számítási feladatokban különböző magasságokban elhelyezett biztonsági vezérlők az objektumok védelme érdekében. |
Fő tervezési stratégiák
A biztonsági monitorozás fő célja a fenyegetésészlelés. Az elsődleges cél a potenciális biztonsági incidensek megelőzése és a biztonságos környezet fenntartása. Ugyanakkor ugyanilyen fontos felismerni, hogy nem minden fenyegetést lehet előre blokkolni. Ilyen esetekben a monitorozás is mechanizmusként szolgál a megelőzési erőfeszítések ellenére bekövetkezett biztonsági incidens okának azonosítására.
A monitorozás különböző szempontokból közelíthető meg:
Monitorozás különböző magasságokban. A különböző magasságokból való megfigyelés a felhasználói folyamatokra, az adathozzáférésekre, az identitásra, a hálózatkezelésre és még az operációs rendszerre vonatkozó információk lekérésének folyamata. Ezek a területek egyedi megállapításokat nyújtanak, amelyek segítenek azonosítani a biztonsági alapkonfigurációval kapcsolatos elvárt viselkedésektől való eltéréseket. Ezzel szemben a rendszer és az alkalmazások időbeli folyamatos monitorozása segíthet az alaphelyzet meghatározásában. Előfordulhat például, hogy óránként körülbelül 1000 bejelentkezési kísérlet jelenik meg az identitásrendszerben. Ha a monitorozás rövid idő alatt 50 000 bejelentkezési kísérletet észlel, előfordulhat, hogy egy támadó megpróbál hozzáférni a rendszerhez.
Monitorozás különböző hatástartományokban. Kritikus fontosságú az alkalmazás és a platform megfigyelése. Tegyük fel, hogy egy alkalmazásfelhasználó véletlenül eszkalált jogosultságokat kap, vagy biztonsági incidens történik. Ha a felhasználó a kijelölt hatókörön kívül hajt végre műveleteket, a hatás a más felhasználók által végrehajtható műveletekre korlátozódhat.
Ha azonban egy belső entitás feltör egy adatbázist, a lehetséges kár mértéke bizonytalan.
Ha az Azure-erőforrásoldalon biztonsági rés lép fel, a hatás globális lehet, ami hatással van az erőforrással interakcióba lépő összes entitásra.
A robbanási sugár vagy az ütközés hatóköre jelentősen eltérő lehet attól függően, hogy ezek közül melyik fordul elő.
Speciális monitorozási eszközök használata. Kritikus fontosságú olyan speciális eszközökbe fektetni, amelyek folyamatosan keresik a rendellenes viselkedést, amely támadásra utalhat. Ezeknek az eszközöknek a többsége fenyegetésfelderítési képességekkel rendelkezik , amelyek nagy mennyiségű adat és ismert fenyegetések alapján képesek prediktív elemzést végezni. A legtöbb eszköz nem állapot nélküli, és a telemetria részletes megértését foglalja bele a biztonsági környezetbe.
Az eszközöknek platform-integrálva kell lenniük, vagy legalább platformtudatosnak kell lenniük ahhoz, hogy mély jeleket kapjanak a platformtól, és magas megbízhatóságú előrejelzéseket készítsenek. Képesnek kell lenniük arra, hogy időben riasztásokat generáljanak, és elegendő információval kell rendelkezniük a megfelelő osztályozás elvégzéséhez. Ha túl sok különböző eszközt használ, az összetettséghez vezethet.
Használjon monitorozást incidensmegoldáshoz. A műveletható intelligenciává alakított összesített adatok gyors és hatékony reagálást tesz lehetővé az incidensekre . A monitorozás segít az incidens utáni tevékenységekben. A cél az, hogy elegendő adatot gyűjtsön a történtek elemzéséhez és megértéséhez. A monitorozási folyamat információkat rögzít a múltbeli eseményekről, hogy javítsa a reaktív képességeket, és potenciálisan előre jelezhesse a jövőbeli incidenseket.
Az alábbi szakaszok olyan ajánlott eljárásokat tartalmaznak, amelyek az előző monitorozási perspektívákat tartalmazzák.
Adatok rögzítése a tevékenységek nyomon követése érdekében
A cél a biztonsági szempontból jelentős események átfogó auditnaplójának fenntartása. A naplózás a hozzáférési minták rögzítésének leggyakoribb módja. Naplózást kell végezni az alkalmazáshoz és a platformhoz.
Az auditnaplókhoz meg kell állapítania, hogy mi, mikor és ki van társítva a műveletekkel. A műveletek végrehajtásakor meg kell határoznia az adott időkereteket. Végezze el ezt az értékelést a fenyegetésmodellezésben. Az elutasító fenyegetés elhárításához erős naplózási és naplózási rendszereket kell létrehoznia, amelyek tevékenység- és tranzakciórekordot eredményeznek.
Az alábbi szakaszok a számítási feladatok egyes gyakori magasságainak használati eseteit ismertetik.
Alkalmazás felhasználói folyamatai
Az alkalmazást úgy kell megtervezni, hogy a futásidejű láthatóságot biztosítsa az események bekövetkezésekor. Azonosítsa az alkalmazás kritikus pontjait, és hozzon létre naplózást ezekhez a pontokhoz. Ha például egy felhasználó bejelentkezik az alkalmazásba, rögzítse a felhasználó identitását, forráshelyét és egyéb releváns adatait. Fontos tudomásul venni a felhasználói jogosultságok eszkalációját, a felhasználó által végrehajtott műveleteket, valamint azt, hogy a felhasználó hozzáfért-e a bizalmas adatokhoz egy biztonságos adattárban. Nyomon követheti a felhasználó és a felhasználói munkamenet tevékenységeit.
A nyomon követés megkönnyítése érdekében a kódot strukturált naplózással kell kialakítani. Ezzel lehetővé teszi a naplók egyszerű és egységes lekérdezését és szűrését.
Fontos
A rendszer bizalmasságának és integritásának fenntartásához felelősségteljes naplózást kell kikényszerítenie. A titkos kódok és a bizalmas adatok nem jelennek meg a naplókban. Vegye figyelembe a személyes adatok kiszivárogtatását és az egyéb megfelelőségi követelményeket a naplóadatok rögzítésekor.
Identitás- és hozzáférés-figyelés
Az alkalmazás hozzáférési mintáinak és a platformerőforrások módosításának részletes nyilvántartása. Robusztus tevékenységnaplókkal és fenyegetésészlelési mechanizmusokkal rendelkezik, különösen az identitással kapcsolatos tevékenységekhez, mivel a támadók gyakran megpróbálják manipulálni az identitásokat, hogy jogosulatlan hozzáféréshez jussanak.
Átfogó naplózás megvalósítása az összes elérhető adatpont használatával. Adja meg például az ügyfél IP-címét, hogy különbséget tegyen a rendszeres felhasználói tevékenység és a váratlan helyektől való potenciális fenyegetések között. A kiszolgálónak minden naplózási eseményt időbélyegzőnek kell lennie.
Jegyezze fel az összes erőforrás-hozzáférési tevékenységet, és rögzítse, hogy ki mit és mikor végez. A jogosultságok eszkalálása jelentős adatpont, amelyet naplózni kell. A fiók alkalmazás általi létrehozásával vagy törlésével kapcsolatos műveleteket is rögzíteni kell. Ez a javaslat az alkalmazás titkos kódjaira is kiterjed. Figyelheti, hogy ki fér hozzá a titkos kódokhoz, és hogy mikor vannak elforgatva.
Bár a sikeres műveletek naplózása fontos, biztonsági szempontból szükséges a hibák rögzítése. Dokumentáljon minden szabálysértést, például egy műveletet megkísérlő felhasználót, aki engedélyezési hibába ütközik, a nem létező erőforrások hozzáférési kísérletei és egyéb gyanúsnak tűnő műveletek.
Hálózatfigyelés
A hálózati csomagok és azok forrásainak, célhelyeinek és struktúráinak monitorozásával a hálózati szinten áttekintheti a hozzáférési mintákat.
A szegmentálási tervnek lehetővé kell tennie a határokat jelölő megfigyelési pontokat , hogy megfigyelhesse, mi keresztezi őket, és naplózza az adatokat. Figyelheti például azokat az alhálózatokat, amelyek hálózati biztonsági csoportokkal rendelkeznek, amelyek folyamatnaplókat hoznak létre. Emellett monitorozza azokat a tűzfalnaplókat is, amelyek az engedélyezett vagy elutasított folyamatokat mutatják.
Vannak hozzáférési naplók a bejövő kapcsolatkérésekhez. Ezek a naplók rögzítik a kéréseket kezdeményező forrás IP-címeket, a kérés típusát (GET, POST) és a kérések részét képező összes többi információt.
A DNS-folyamatok rögzítése számos szervezet számára jelentős követelmény. A DNS-naplók például segíthetnek azonosítani, hogy melyik felhasználó vagy eszköz kezdeményezett egy adott DNS-lekérdezést. A DNS-tevékenység és a felhasználói/eszközhitelesítési naplók összekapcsolásával nyomon követheti az egyes ügyfelek tevékenységeit. Ez a felelősség gyakran kiterjed a számítási feladatokért felelős csapatra, különösen akkor, ha bármit üzembe helyeznek, amely a DNS-kéréseket a művelet részévé teszi. A DNS-forgalom elemzése a platformbiztonság megfigyelhetőségének kulcsfontosságú eleme.
Fontos figyelni a nem várt DNS-kéréseket vagy DNS-kéréseket, amelyek ismert parancs- és vezérlési végpontok felé irányulnak.
Kompromisszum: Az összes hálózati tevékenység naplózása nagy mennyiségű adatot eredményezhet. A 3. réteg minden kérése rögzíthető egy folyamatnaplóban, beleértve az alhálózati határt átlépő összes tranzakciót is. Sajnos nem lehet csak a káros eseményeket rögzíteni, mert csak azok bekövetkezése után azonosíthatók. Stratégiai döntéseket hozhat a rögzítendő események típusáról és azok tárolásának időtartamáról. Ha nem óvatos, az adatok kezelése túl sok lehet. Az adatok tárolásának költsége is meg van kapcsolva.
A kompromisszumok miatt meg kell fontolnia, hogy a számítási feladat hálózati monitorozásának előnyei elegendőek-e a költségek igazolásához. Ha nagy kérésmennyiségű webalkalmazás-megoldással rendelkezik, és a rendszer széles körben használja a felügyelt Azure-erőforrásokat, a költségek meghaladják az előnyöket. Ha viszont olyan megoldással rendelkezik, amely különböző portokkal és alkalmazásokkal rendelkező virtuális gépeket használ, fontos lehet a hálózati naplók rögzítése és elemzése.
Rendszerváltozások rögzítése
A rendszer integritásának fenntartása érdekében pontos és naprakész rendszerállapot-rekordot kell készítenie. Ha vannak változások, ezzel a rekorddal azonnal elháríthatja a felmerülő problémákat.
A buildelési folyamatoknak telemetriát is ki kell bocsátanak. Az események biztonsági környezetének megértése kulcsfontosságú. Ha tudja, hogy mi váltotta ki a buildelési folyamatot, ki aktiválta, és mikor aktiválta, értékes megállapításokat adhat.
Nyomon követheti , hogy mikor jönnek létre az erőforrások, és mikor szerelik le őket. Ezeket az információkat ki kell nyerni a platformról. Ezek az információk értékes megállapításokat nyújtanak az erőforrás-kezeléshez és az elszámoltathatósághoz.
Az erőforrás-konfiguráció eltérésének monitorozása. Meglévő erőforrás módosításainak dokumentálása. Emellett nyomon követheti azokat a módosításokat is, amelyek nem fejeződnek be egy erőforrás-flotta bevezetése során. A naplóknak rögzítenie kell a módosítás sajátosságait és a pontos időpontot.
Átfogó képet kap a javítás szempontjából arról, hogy a rendszer naprakész és biztonságos-e. Monitorozza a rutin frissítési folyamatokat annak ellenőrzéséhez, hogy a tervezett módon fejeződnek-e be. A biztonsági javítási folyamat, amely nem fejeződik be, biztonsági résnek kell tekinteni. Olyan leltárt is fenn kell tartania, amely rögzíti a javítási szinteket és az egyéb szükséges részleteket.
A változásészlelés az operációs rendszerre is vonatkozik. Ez magában foglalja a szolgáltatások hozzáadásának vagy kikapcsolt állapotának nyomon követését. Emellett figyeli az új felhasználók rendszerhez való hozzáadását is. Vannak olyan eszközök, amelyeket az operációs rendszer megcélzására terveztek. Segítenek a környezet nélküli monitorozásban abban az értelemben, hogy nem a számítási feladat funkcióit célzik. A fájlintegritási monitorozás például egy kritikus eszköz, amely lehetővé teszi a rendszerfájlok változásainak nyomon követését.
Riasztásokat kell beállítania ezekhez a változásokhoz, különösen akkor, ha nem számít arra, hogy gyakran fordulnak elő.
Fontos
Az éles környezetbe való bevezetéskor győződjön meg arról, hogy a riasztások úgy vannak konfigurálva, hogy elkapják az alkalmazás erőforrásain és a buildelési folyamaton észlelt rendellenes tevékenységeket.
A teszttervekben adja meg a naplózás és a riasztások ellenőrzését prioritásos tesztesetként.
Adatok tárolása, összesítése és elemzése
Az ezekből a monitorozási tevékenységekből gyűjtött adatokat olyan adatgyűjtőkben kell tárolni, ahol alaposan megvizsgálhatók, normalizálhatók és korrelálhatók. A biztonsági adatokat a rendszer saját adattárán kívül kell tárolni. A fogadók monitorozásának , legyen szó honosításról vagy központiról, ki kell egészítenie az adatforrásokat. A fogadók nem lehetnek rövid élettartamúak , mert a fogadók a behatolásészlelő rendszerek forrása.
A hálózati naplók részletesek lehetnek, és tárhelyet is igénybe vehetnek. Fedezze fel a tárolási rendszerek különböző szintjeit. A naplók idővel természetesen áttérhetnek a hidegebb tárolásra. Ez a megközelítés azért előnyös, mert a régebbi folyamatnaplókat általában nem használják aktívan, és csak igény szerint szükségesek. Ez a módszer biztosítja a hatékony tároláskezelést, ugyanakkor biztosítja, hogy szükség esetén hozzáférhessen az előzményadatokhoz.
A számítási feladat folyamatai általában több naplózási forrásból állnak. A monitorozási adatokat intelligensen kell elemezni az összes forrásban. A tűzfal például csak az azt elérő forgalmat blokkolja. Ha olyan hálózati biztonsági csoport van, amely már blokkolt bizonyos forgalmat, az a forgalom nem látható a tűzfalon. Az események sorozatának rekonstruálásához összesítenie kell az összes folyamatban lévő összetevő adatait, majd összesítenie kell az összes folyamat adatait. Ezek az adatok különösen hasznosak az incidens utáni reagálási forgatókönyvekben, amikor megpróbálják megérteni, hogy mi történt. A pontos időmérés elengedhetetlen. Biztonsági okokból minden rendszernek hálózati időforrást kell használnia, hogy mindig szinkronban legyenek.
Központosított fenyegetésészlelés korrelált naplókkal
A biztonsági adatok olyan központi helyen való összevonására használható, mint a biztonsági információk és az eseménykezelés (SIEM). Ezek a rendszerek beépített fenyegetésészlelési mechanizmusokkal rendelkeznek. Külső hírcsatornákhoz csatlakozhatnak a fenyegetésfelderítési adatok lekéréséhez. A Microsoft például közzéteszi a fenyegetésfelderítési adatokat, amelyeket felhasználhat. Fenyegetésfelderítési hírcsatornákat is vásárolhat más szolgáltatóktól, például az Anomalitól és a FireEye-től. Ezek a hírcsatornák értékes megállapításokat nyújtanak, és javítják a biztonsági állapotot. A Microsoft fenyegetéselemzéseiért lásd: Security Insider.
A SIEM-rendszerek riasztásokat hozhatnak létre a korrelált és normalizált adatok alapján. Ezek a riasztások jelentős erőforrást jelentenek egy incidenskezelési folyamat során.
Kompromisszum: A SIEM-rendszerek költségesek, összetettek lehetnek, és speciális készségeket igényelnek. Ha azonban nincs ilyenje, előfordulhat, hogy önállóan kell korrelálnia az adatokat. Ez időigényes és összetett folyamat lehet.
A SIEM-rendszereket általában a szervezet központi csapatai kezelik. Ha a szervezetnek nincs ilyenje, fontolja meg a meghívást. Enyhítheti a manuális naplóelemzés és korreláció terheit a hatékonyabb és hatékonyabb biztonságkezelés érdekében.
Néhány költséghatékony lehetőséget a Microsoft biztosít. Számos Microsoft Defender termék biztosítja a SIEM-rendszerek riasztási funkcióit, de adatösszesítési funkció nélkül.
Több kisebb eszköz kombinálásával emulálhatja a SIEM-rendszerek egyes funkcióit. Azonban tudnia kell, hogy ezek a makeshift megoldások nem képesek korrelációs elemzést végezni. Ezek az alternatívák hasznosak lehetnek, de előfordulhat, hogy nem teljesen helyettesítik a dedikált SIEM-rendszerek funkcióit.
Visszaélés észlelése
Legyen proaktív a fenyegetésészleléssel kapcsolatban , és legyen éber a visszaélések jeleiért, például egy SSH-összetevő vagy egy RDP-végpont ellen irányuló találgatásos támadásokért. Bár a külső fenyegetések nagy zajt okozhatnak, különösen, ha az alkalmazás ki van téve az internetnek, a belső fenyegetések gyakran nagyobb problémát jelentenek. Egy megbízható hálózati forrásból származó váratlan találgatásos támadást vagy egy véletlen helytelen konfigurációt például azonnal meg kell vizsgálni.
Tartsa be a lépést a keményítési gyakorlattal. A monitorozás nem helyettesíti a környezet proaktív megerősítését. A nagyobb felület hajlamos a további támadásokra. A vezérlők meghúzása a gyakorlathoz hasonlóan. Észlelheti és letilthatja a nem használt fiókokat, eltávolíthatja a nem használt portokat, és használhat például webalkalmazási tűzfalat. A megkeményítési technikákkal kapcsolatos további információkért lásd: Javaslatok a biztonsági megkeményedésről.
Az aláírásalapú észlelés részletesen megvizsgálhatja a rendszert. Ehhez olyan jeleket vagy összefüggéseket kell keresni, amelyek potenciális támadásra utalhatnak. Az észlelési mechanizmus azonosíthat bizonyos jellemzőket, amelyek egy adott típusú támadásra utalnak. Előfordulhat, hogy nem mindig lehet közvetlenül észlelni egy támadás parancs- és vezérlési mechanizmusát. Azonban gyakran vannak olyan tippek vagy minták, amelyek egy adott parancs- és vezérlési folyamathoz kapcsolódnak. Előfordulhat például, hogy egy támadást egy bizonyos folyamatsebesség jelez egy kérés szempontjából, vagy gyakran elér bizonyos végződésű tartományokat.
Észlelje a rendellenes felhasználói hozzáférési mintákat , így azonosíthatja és megvizsgálhatja a várt mintáktól való eltéréseket. Ez magában foglalja az aktuális felhasználói viselkedés és a múltbeli viselkedés összehasonlítását az anomáliák észlelése érdekében. Bár ez a feladat nem valósítható meg manuálisan, fenyegetésfelderítési eszközökkel is elvégezheti. Fektessen be olyan felhasználói és entitásviselkedés-elemzési (UEBA) eszközöket , amelyek a felhasználói viselkedést gyűjtik a monitorozási adatokból, és elemzik azokat. Ezek az eszközök gyakran végeznek prediktív elemzést, amely a gyanús viselkedéseket potenciális támadástípusokra képezi le.
Fenyegetések észlelése az üzembe helyezés előtti és az üzembe helyezés utáni szakaszokban. Az üzembe helyezés előtti fázisban építse be a biztonságirés-vizsgálatot a folyamatokba, és hajtsa végre a szükséges műveleteket az eredmények alapján. Az üzembe helyezés után folytassa a biztonságirés-vizsgálat folytatását. Használhat olyan eszközöket, mint a tárolókhoz készült Microsoft Defender, amelyek tárolólemezképeket vizsgálnak. Adja meg az eredményeket az összegyűjtött adatokban. További információ a biztonságos fejlesztési eljárásokról: Javaslatok a biztonságos üzembehelyezési eljárások használatára.
Használja ki a platform által biztosított észlelési mechanizmusokat és mértékeket. A Azure Firewall például elemezheti a forgalmat, és blokkolhatja a nem megbízható célhelyekkel létesített kapcsolatokat. Az Azure az elosztott szolgáltatásmegtagadási (DDoS) támadások észlelésére és az ellen való védelemre is módot kínál.
Azure-beli segítségnyújtás
Az Azure Monitor a teljes környezetben megfigyelhető. Konfiguráció nélkül automatikusan lekérheti a platformmetrikákat, a tevékenységnaplókat és a diagnosztikai naplókat a legtöbb Azure-erőforrásból. A tevékenységnaplók részletes diagnosztikai és naplózási információkat nyújtanak.
Megjegyzés
A platformnaplók nem érhetők el határozatlan ideig. Meg kell tartania őket, hogy később is áttekinthesse őket naplózási vagy offline elemzés céljából. Használjon Azure Storage-fiókokat hosszú távú/archivált tároláshoz. Az Azure Monitorban adja meg a megőrzési időtartamot, amikor engedélyezi az erőforrások diagnosztikai beállításait.
Állítson be riasztásokat előre meghatározott vagy egyéni metrikák és naplók alapján, hogy értesítéseket kapjon, ha adott biztonsági eseményeket vagy rendellenességeket észlel.
További információ: Az Azure Monitor dokumentációja.
A Microsoft Defender for Cloud beépített képességeket biztosít a fenyegetésészleléshez. Az összegyűjtött adatokon dolgozik, és naplókat elemez. Mivel tisztában van a létrehozott naplók típusaival, beépített szabályokkal megalapozott döntéseket hozhat. Ellenőrzi például a potenciálisan feltört IP-címek listáját, és riasztásokat hoz létre.
Azure-erőforrások beépített veszélyforrások elleni védelmi szolgáltatásainak engedélyezése. Például engedélyezze Microsoft Defender Azure-erőforrásokhoz, például virtuális gépekhez, adatbázisokhoz és tárolókhoz az ismert fenyegetések észleléséhez és elhárításához.
A Felhőhöz készült Defender felhőalapú számításifeladat-védelmi platform (CWPP) képességeket biztosít az összes számítási feladat erőforrásainak fenyegetésészleléséhez.
További információ: Mi a Microsoft Defender a felhőhöz?
A Defender által létrehozott riasztások SIEM-rendszerekbe is beépülhetnek. A Microsoft Sentinel a natív ajánlat. Mesterséges intelligenciát és gépi tanulást használ a biztonsági fenyegetések valós idejű észlelésére és megválaszolására. Központosított áttekintést nyújt a biztonsági adatokról, és elősegíti a proaktív veszélyforrás-keresést és vizsgálatot.
További információ: Mi a Microsoft Sentinel?.
A Microsoft Sentinel különböző forrásokból származó fenyegetésfelderítési hírcsatornákat is használhat. További információ: Fenyegetésfelderítés integrációja a Microsoft Sentinelben.
A Microsoft Sentinel képes elemezni a felhasználói viselkedést a monitorozási adatokból. További információ: Speciális fenyegetések azonosítása a Microsoft Sentinel felhasználói és entitásviselkedési elemzéseivel (UEBA).
A Defender és a Microsoft Sentinel a funkciók átfedése ellenére is együttműködik. Ez az együttműködés az átfogó fenyegetésészlelés és -reagálás biztosításával javítja az általános biztonsági helyzet kialakítását.
Az Azure Üzletmenet-folytonossági központ segítségével azonosíthatja az üzletmenet-folytonossági tulajdonban lévő hiányosságokat, és megvédheti az olyan fenyegetéseket, mint a zsarolóprogram-támadások, a rosszindulatú tevékenységek és a rosszindulatú rendszergazdai incidensek. További információ: Mi az az Azure Üzletmenet-folytonossági központ?.
Hálózatkezelés
Tekintse át a hálózati eszközökről érkező összes naplót, beleértve a nyers forgalmat is.
Biztonsági csoport naplói. Tekintse át a folyamatnaplókat és a diagnosztikai naplókat.
Azure Network Watcher. Használja ki a csomagrögzítési funkció előnyeit, hogy riasztásokat állítson be, és hozzáférést kapjon a valós idejű teljesítményadatokhoz csomagszinten.
A csomagrögzítés nyomon követi a virtuális gépek bejövő és kimenő forgalmát. Segítségével proaktív rögzítéseket futtathat meghatározott hálózati rendellenességek alapján, beleértve a hálózati behatolásokkal kapcsolatos információkat is.
Példa: Hálózatok proaktív figyelése riasztásokkal és Azure Functions csomagrögzítéssel.
Identitás
Monitorozza az identitással kapcsolatos kockázati eseményeket a potenciálisan feltört identitásokon, és orvosolja ezeket a kockázatokat. Tekintse át a jelentett kockázati eseményeket az alábbi módokon:
Használjon Microsoft Entra ID jelentéskészítést. További információ: Mi az Identity Protection? és Identity Protection.
Az Identity Protection kockázatészlelési API-tagjaival programozott hozzáférést kaphat a biztonsági észlelésekhez a Microsoft Graphon keresztül. További információ: riskDetection és riskyUser.
Microsoft Entra ID adaptív gépi tanulási algoritmusokat, heurisztikus adatokat és ismert feltört hitelesítő adatokat (felhasználónév- és jelszópárokat) használ a felhasználói fiókokhoz kapcsolódó gyanús műveletek észleléséhez. Ezek a felhasználónév- és jelszópárok a nyilvános és sötét web figyelésével, valamint a biztonsági kutatókkal, a bűnüldözéssel, a Microsoft biztonsági csapataival és másokkal együttműködve jelennek meg.
Azure Pipelines
A DevOps a számítási feladatok folyamatos integráció és folyamatos teljesítés (CI/CD) használatával történő változáskezelését támogatja. Ügyeljen arra, hogy biztonsági ellenőrzést adjon hozzá a folyamatokhoz. Kövesse az Azure Pipelines biztonságossá tételével kapcsolatos útmutatót.
Kapcsolódó hivatkozások
- Javaslatok a megfigyelhetőségi keretrendszer kialakításához és létrehozásához
- Security Insider
- Javaslatok az erőforrások megerősítéséhez
- Javaslatok a biztonságos üzembehelyezési eljárások használatára
- Az Azure Monitor dokumentációja
- Mi a felhőhöz készült Microsoft Defender?
- Mi az a Microsoft Sentinel?
- Fenyegetésfelderítési adatok integrálása a Microsoft Sentinelbe
- Speciális fenyegetések azonosítása a Microsoft Sentinel felhasználói és entitásviselkedési elemzésével (UEBA)
- Oktatóanyag: Virtuális gép bejövő és kimenő hálózati forgalmának naplózása az Azure Portal használatával
- Csomagrögzítő
- Hálózatok proaktív monitorozása riasztásokkal és Azure Functions a Csomagrögzítés használatával
- Mi az az Identity Protection?
- Identity Protection
- riskDetection
- riskyUser
- Ismerje meg, hogyan adhat folyamatos biztonsági ellenőrzést a CI/CD-folyamathoz
Biztonsági ellenőrzőlista
Tekintse meg a javaslatok teljes készletét.