Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile ottenere sia il rilevamento che la prevenzione in una soluzione Firewall di Azure facile da distribuire per Microsoft Sentinel.
La sicurezza è un equilibrio costante tra difese proattive e reattive. Sono entrambi ugualmente importanti, e nessuno dei due può essere trascurato. Proteggere efficacemente l'organizzazione significa ottimizzare costantemente sia la prevenzione che il rilevamento.
Combinando la prevenzione e il rilevamento, è possibile prevenire minacce sofisticate quando è possibile, mantenendo al contempo una mentalità presupporre una violazione per rilevare e rispondere rapidamente ai attacchi informatici.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuito.
Funzionalità chiave
Integrando Firewall di Azure con Microsoft Sentinel, si abilitano le funzionalità seguenti:
- Monitorare e visualizzare le attività di Firewall di Azure.
- Rilevare le minacce e applicare funzionalità di analisi assistita dall'intelligenza artificiale.
- Automatizzare le risposte e la correlazione con altre origini.
L'intera esperienza viene inserita in un pacchetto come soluzione nel marketplace di Microsoft Sentinel, il che significa che è possibile distribuirlo relativamente facilmente.
Distribuire e abilitare la soluzione Firewall di Azure per Microsoft Sentinel
È possibile distribuire rapidamente la soluzione dal Content Hub. Nell'area di lavoro di Microsoft Sentinel selezionare Analisi e quindi Altro contenuto nell'hub contenuto. Cercare e selezionare Firewall di Azure e quindi selezionare Installa.
Dopo l'installazione, selezionare Gestisci e seguire tutti i passaggi della procedura guidata, passare la convalida e creare la soluzione. Con alcune selezioni, tutto il contenuto, inclusi connettori, rilevamenti, cartelle di lavoro e playbook, vengono distribuiti nell'area di lavoro di Microsoft Sentinel.
Monitorare e visualizzare le attività di Firewall di Azure
La cartella di lavoro di Firewall di Azure consente di visualizzare gli eventi di Firewall di Azure. Usando questa cartella di lavoro, è possibile:
- Informazioni sull'applicazione e sulle regole di rete.
- Vedere le statistiche per le attività del firewall tra URL, porte e indirizzi.
- Filtrare in base al firewall e al gruppo di risorse.
- Filtrare dinamicamente per categoria con set di dati facili da leggere durante l'analisi di un problema nei log.
La cartella di lavoro fornisce un singolo dashboard per il monitoraggio continuo dell'attività del firewall. Quando si tratta di rilevamento, analisi e risposta delle minacce, la soluzione Firewall di Azure offre anche funzionalità di rilevamento e ricerca predefinite.
Rilevare le minacce e usare le funzionalità di analisi assistita dall'intelligenza artificiale
Le regole di rilevamento della soluzione offrono a Microsoft Sentinel un modo affidabile per analizzare i segnali di Firewall di Azure e rilevare il traffico che mostra modelli di attività dannose che si spostano attraverso la rete. Questo approccio consente una risposta rapida e una correzione delle minacce.
Le regole di rilevamento segmentano le fasi di attacco che un avversario persegue all'interno della soluzione firewall, in base al framework MITRE ATT&CK. Il framework MITRE è una serie di passaggi che tracciano le fasi di un cyberattacco dalle prime fasi di ricognizione fino all'esfiltrazione dei dati. Il framework aiuta i difensori a comprendere e combattere ransomware, violazioni della sicurezza e attacchi avanzati.
La soluzione include rilevamenti per scenari comuni che un antagonista potrebbe usare come parte dell'attacco, che si estende dalla fase di individuazione (acquisendo informazioni sul sistema e sulla rete interna) attraverso la fase di comando e controllo (C2) (comunicando con sistemi compromessi per controllarli) alla fase di esfiltrazione (avversario che tenta di rubare i dati dall'organizzazione).
| Regola di rilevamento | Funzione | Che cosa indica? |
|---|---|---|
| Scansione delle porte | Identifica un IP di origine che esegue la scansione di più porte aperte sul firewall di Azure. | Scansione dannosa delle porte da parte di un attaccante, tentando di individuare porte aperte all'interno dell'organizzazione che possono essere compromesse per ottenere l'accesso iniziale. |
| Organizzazione delle porte | Identifica un indirizzo IP di origine che analizza le stesse porte aperte negli indirizzi IP diversi di Firewall di Azure. | Analisi dannosa di una porta da parte di un utente malintenzionato che tenta di rivelare indirizzi IP con porte vulnerabili specifiche aperte nell'organizzazione. |
| Frequenza di negazione anomala per l'INDIRIZZO IP di origine | Identifica una frequenza di negazione anomala per un indirizzo IP di origine specifico a un indirizzo IP di destinazione in base all'apprendimento automatico eseguito durante un periodo configurato. | Potenziale esfiltrazione, accesso iniziale o C2, in cui un utente malintenzionato tenta di sfruttare la stessa vulnerabilità nei computer dell'organizzazione, ma le regole di Firewall di Azure lo bloccano. |
| Porta anomala al protocollo | Identifica la comunicazione per un protocollo noto su una porta non standard basata sull'apprendimento automatico eseguito durante un periodo di attività. | Comunicazione dannosa (C2) o esfiltrazione da parte di utenti malintenzionati che tentano di comunicare tramite porte note (SSH, HTTP), ma non usano le intestazioni del protocollo note che corrispondono al numero di porta. |
| Origini multiple collegate alla stessa destinazione TI | Identifica più computer che tentano di raggiungere la stessa destinazione bloccata dall'intelligence sulle minacce (TI) nel Firewall di Azure. | Un attacco all'organizzazione dallo stesso gruppo di attacchi che tenta di esfiltrare i dati dall'organizzazione. |
Ricerca di query
Le query di ricerca sono uno strumento che consente al ricercatore della sicurezza di cercare minacce nella rete di un'organizzazione, dopo che si verifica un evento imprevisto o in modo proattivo per individuare attacchi nuovi o sconosciuti. A tale scopo, i ricercatori della sicurezza esaminano diversi indicatori di compromissione (IOC). Le query di ricerca predefinite di Microsoft Sentinel nella soluzione Firewall di Azure offrono ai ricercatori della sicurezza gli strumenti necessari per trovare attività ad alto impatto dai log del firewall. Alcuni esempi includono:
| Query di ricerca | Funzione | Che cosa indica? |
|---|---|---|
| Prima volta che un INDIRIZZO IP di origine si connette alla porta di destinazione | Consente di identificare un'indicazione comune di un attacco (IOA) quando un nuovo host o un nuovo IP tenta di comunicare con una destinazione usando una porta specifica. | Basato sull'apprendimento del traffico regolare in un periodo specificato. |
| Un indirizzo IP di origine si collega per la prima volta a una destinazione | Aiuta a identificare un IOA quando si verifica una comunicazione dannosa per la prima volta da macchine che non hanno mai effettuato l'accesso all'indirizzo di destinazione prima. | Basato sull'apprendimento del traffico regolare in un periodo specificato. |
| L'INDIRIZZO IP di origine si connette in modo anomalo a più destinazioni | Identifica un indirizzo IP di origine che si connette in modo anomalo a più destinazioni. | Indica i tentativi di accesso iniziali da parte di utenti malintenzionati che tentano di passare da computer diversi all'interno dell'organizzazione, sfruttando il percorso di spostamento laterale o la stessa vulnerabilità in computer diversi per trovare computer vulnerabili all'accesso. |
| Porta non comune per l'organizzazione | Identifica le porte anomale usate nella rete dell'organizzazione. | Un utente malintenzionato può ignorare le porte monitorate e inviare dati tramite porte non comuni. Questa azione consente agli utenti malintenzionati di eludere il rilevamento dai sistemi di rilevamento di routine. |
| Connessione di porta non comune all'INDIRIZZO IP di destinazione | Identifica le porte anomale usate dai computer per connettersi a un indirizzo IP di destinazione. | Un utente malintenzionato può ignorare le porte monitorate e inviare dati tramite porte non comuni. Questa azione può anche indicare un attacco di esfiltrazione da computer dell'organizzazione usando una porta che non viene mai usata nel computer per la comunicazione. |
Automatizzare la risposta e la correlazione con altre origini
Firewall di Azure include anche playbook di Microsoft Sentinel, che è possibile usare per automatizzare la risposta alle minacce. Si supponga, ad esempio, che il firewall registri un evento in cui un particolare dispositivo nella rete tenta di comunicare con Internet usando il protocollo HTTP su una porta TCP non standard. Questa azione attiva un rilevamento in Microsoft Sentinel. Il playbook automatizza una notifica al team delle operazioni di sicurezza tramite Microsoft Teams e gli analisti della sicurezza possono bloccare l'indirizzo IP di origine del dispositivo con una singola selezione. Questa azione impedisce l'accesso a Internet fino a quando non è possibile completare un'indagine. I playbook rendono questo processo molto più efficiente e semplificato.
Esempio reale
Ecco l'aspetto della soluzione completamente integrata in uno scenario reale.
L'attacco e la prevenzione iniziale da Firewall di Azure
Un rappresentante vendite dell'azienda apre accidentalmente un messaggio di posta elettronica di phishing e apre un file PDF contenente malware. Il malware tenta immediatamente di connettersi a un sito Web dannoso, ma Firewall di Azure lo blocca. Il firewall ha rilevato il dominio utilizzando il feed di Microsoft Threat Intelligence.
Risposta.
Il tentativo di connessione attiva un rilevamento in Microsoft Sentinel e avvia il processo di automazione del playbook per notificare al team delle operazioni di sicurezza tramite un canale di Teams. Lì, l'analista può impedire al computer di comunicare con Internet. Il team addetto alle operazioni di sicurezza invia quindi una notifica al reparto IT che rimuove il malware dal computer del rappresentante di vendita. Tuttavia, adottando un approccio proattivo e esaminando più a fondo, il ricercatore di sicurezza applica le query di ricerca del Firewall di Azure ed esegue la query Source IP si connette in modo anomalo a più destinazioni. Ciò rivela che il malware sul computer infetto ha cercato di comunicare con diversi altri dispositivi sulla rete più ampia e ha cercato di accedere a diversi di loro. Uno di questi tentativi di accesso è riuscito, poiché non c'era una segmentazione di rete appropriata per impedire il movimento laterale nella rete, e il nuovo dispositivo aveva una vulnerabilità nota il malware sfruttato per infettarlo.
Il risultato
Il ricercatore della sicurezza ha rimosso il malware dal nuovo dispositivo, ha completato la mitigazione dell'attacco e ha scoperto una debolezza di rete nel processo.
Passaggi successivi
- Altre informazioni su Microsoft Sentinel.
- Sicurezza Microsoft.