Поделиться через


Брандмауэр Azure с обзором Microsoft Sentinel

Теперь вы можете получить как обнаружение, так и предотвращение в виде простого Брандмауэр Azure решения для Azure Sentinel.

Безопасность — это постоянный баланс между упреждающей и реактивной защитой. Они оба одинаково важны, и никто не может быть пренебрежительна. Эффективная защита вашей организации означает постоянную оптимизацию как предотвращения, так и обнаружения.

Объединение предупреждений и обнаружения позволяет гарантировать, что обе угрозы предотвращают сложные угрозы, когда вы можете, а также поддерживать предполагаемую менталитету нарушений для обнаружения и быстрого реагирования на кибератаки.

Необходимые компоненты

Основные возможности

Интеграция Брандмауэр Azure с Microsoft Sentinel обеспечивает следующие возможности:

  • Мониторинг и визуализация действий Брандмауэр Azure
  • Обнаружение угроз и применение возможностей исследования с помощью ИИ
  • Автоматизация ответов и корреляции с другими источниками

Весь интерфейс упаковано как решение в Microsoft Sentinel Marketplace, что означает, что его можно развернуть относительно легко.

Развертывание и включение решения Брандмауэр Azure для Microsoft Sentinel

Решение можно быстро развернуть из центра контента. В рабочей области Microsoft Sentinel выберите "Аналитика" и " Дополнительно" в центре контента. Найдите и выберите Брандмауэр Azure и нажмите кнопку "Установить".

После установки выберите "Управление" выполните все действия мастера, передайте проверку и создайте решение. С несколькими выборами все содержимое, включая соединители, обнаружения, книги и сборники схем, развертываются в рабочей области Microsoft Sentinel.

Мониторинг и визуализация действий Брандмауэр Azure

Книга Брандмауэр Azure позволяет визуализировать события Брандмауэр Azure. С помощью этой книги можно:

  • Сведения о правилах приложения и сети
  • Сведения о статистике действий брандмауэра по URL-адресам, портам и адресам
  • Фильтрация по брандмауэру и группе ресурсов
  • Динамически фильтруйте каждую категорию с простыми наборами данных при изучении проблемы в журналах.

Книга предоставляет одну панель мониторинга для текущего мониторинга действий брандмауэра. Когда дело доходит до обнаружения угроз, исследования и реагирования, решение Брандмауэр Azure также предоставляет встроенные возможности обнаружения и охоты.

Обнаружение угроз и использование возможностей исследования с помощью ИИ

Правила обнаружения решения предоставляют Microsoft Sentinel мощный метод для анализа сигналов Брандмауэр Azure для обнаружения трафика, представляющего шаблоны вредоносных действий, проходящие через сеть. Это позволяет быстро реагировать на угрозы и устранять их.

Этапы атаки, выполняемые злоумышленником в решении брандмауэра, сегментируются на основе платформы MITRE ATT&CK . Платформа MITRE представляет собой ряд шагов, которые трассировки этапов кибератаки с ранних этапов разведки до кражи данных. Платформа помогает защитникам понимать и бороться с программами-шантажами, нарушениями безопасности и расширенными атаками.

Решение включает в себя обнаружение для распространенных сценариев, которые злоумышленник может использовать в рамках атаки, охватывая этап обнаружения (получение знаний о системе и внутренней сети) через этап управления (C2) (взаимодействие с скомпрометированных систем для управления ими) до этапа хищения (злоумышленник пытается украсть данные из организации).

Правило обнаружения В чем его функция? Что это означает?
Сканирование портов Определяет исходный IP-адрес, который сканирует несколько открытых портов в Брандмауэр Azure. Вредоносное сканирование портов злоумышленником, пытающееся выявить открытые порты в организации, которые могут быть скомпрометированы для первоначального доступа.
Очистка портов Определяет исходный IP-адрес, сканирующий одни и те же открытые порты на Брандмауэр Azure разных IP-адресов. Вредоносное сканирование порта злоумышленником пытается выявить IP-адреса с определенными уязвимыми портами, открытыми в организации.
Ненормальная частота запрета для исходного IP-адреса Определяет ненормальную частоту запрета для определенного исходного IP-адреса целевого IP-адреса на основе машинного обучения, выполняемого в течение заданного периода. Потенциальный кража, первоначальный доступ или C2, когда злоумышленник пытается использовать ту же уязвимость на компьютерах в организации, но Брандмауэр Azure правила блокируют его.
Ненормальный порт к протоколу Определяет связь для известного протокола по нестандартному порту на основе машинного обучения, выполняемого в течение периода действия. Вредоносное взаимодействие (C2) или кража злоумышленниками, пытающимися обмениваться данными через известные порты (SSH, HTTP), но не используйте известные заголовки протокола, соответствующие номеру порта.
Несколько источников, затронутых тем же назначением TI Определяет несколько компьютеров, которые пытаются связаться с тем же местом назначения, заблокированным аналитикой угроз (TI) в Брандмауэр Azure. Атака на организацию той же группой атак пытается вывести данные из организации.

Запросы слежения

Запросы охоты — это средство для исследователя безопасности для поиска угроз в сети организации либо после возникновения инцидента, либо упреждающего обнаружения новых или неизвестных атак. Для этого исследователи безопасности смотрят на несколько индикаторов компрометации (IOCs). Встроенные запросы охоты Azure Sentinel в решении Брандмауэр Azure дают исследователям безопасности инструменты, необходимые для поиска действий с высоким воздействием из журналов брандмауэра. Ниже приведено несколько примеров.

Запрос охоты В чем его функция? Что это означает?
При первом подключении исходного IP-адреса к целевому порту Помогает определить распространенные признаки атаки (IOA), когда новый узел или IP-адрес пытается связаться с назначением с помощью определенного порта. На основе обучения регулярного трафика в течение указанного периода.
При первом подключении исходного IP-адреса к назначению Помогает определить IOA, когда вредоносное взаимодействие выполняется в первый раз с компьютеров, которые никогда не обращаются к назначению раньше. На основе обучения регулярного трафика в течение указанного периода.
Исходный IP-адрес ненормально подключается к нескольким назначениям Определяет исходный IP-адрес, который ненормально подключается к нескольким назначениям. Указывает на первоначальные попытки доступа злоумышленников, пытающихся перейти между различными компьютерами в организации, эксплуатируя путь бокового перемещения или одну и ту же уязвимость на разных компьютерах, чтобы найти уязвимые компьютеры для доступа.
Необычный порт для организации Определяет ненормальные порты, используемые в сети организации. Злоумышленник может обойти отслеживаемые порты и отправлять данные через необычные порты. Это позволяет злоумышленникам избежать обнаружения из обычных систем обнаружения.
Необычное подключение через порт к IP-адресу назначения Определяет ненормальные порты, используемые компьютерами для подключения к целевому IP-адресу. Злоумышленник может обойти отслеживаемые порты и отправлять данные через необычные порты. Это также может указывать на атаку на кражу от компьютеров в организации с помощью порта, который никогда не использовался на компьютере для обмена данными.

Автоматизация реагирования и корреляции с другими источниками

Наконец, Брандмауэр Azure также включает сборники схем Azure Sentinel, которые позволяют автоматизировать реагирование на угрозы. Например, предположим, что брандмауэр регистрирует событие, в котором определенное устройство в сети пытается взаимодействовать с Интернетом через протокол HTTP через нестандартный TCP-порт. Это действие активирует обнаружение в Azure Sentinel. Сборник схем автоматизирует уведомление группе операций безопасности через Microsoft Teams, а аналитики по безопасности могут блокировать исходный IP-адрес устройства одним выбором. Это предотвращает доступ к Интернету до тех пор, пока не будет завершено расследование. Сборники схем позволяют этому процессу быть гораздо более эффективным и упрощенным.

Пример реального мира

Рассмотрим, как выглядит полностью интегрированное решение в реальном мире.

Атака и начальная профилактика с помощью Брандмауэр Azure

Представитель по продажам в компании случайно открыл фишинговое письмо и открыл PDF-файл, содержащий вредоносные программы. Вредоносные программы немедленно пытаются подключиться к вредоносному веб-сайту, но Брандмауэр Azure блокирует его. Брандмауэр обнаружил домен с помощью веб-канала аналитики угроз Майкрософт, который он использует.

Ответ

Попытка подключения активирует обнаружение в Azure Sentinel и запускает процесс автоматизации сборников схем, чтобы уведомить группу операций безопасности через канал Teams. Там аналитик может заблокировать взаимодействие компьютера с Интернетом. Затем группа по операциям безопасности уведомляет ИТ-отдел, который удаляет вредоносные программы с компьютера представителя по продажам. Тем не менее, принимая упреждающий подход и глядя более глубоко, исследователь безопасности применяет запросы Брандмауэр Azure охоты и запускает исходный IP-адрес аномально подключается к нескольким запросам назначения. Это показывает, что вредоносные программы на зараженном компьютере пытались взаимодействовать с несколькими другими устройствами в более широкой сети и пытались получить доступ к нескольким из них. Одна из этих попыток доступа завершилась успешно, так как не было надлежащей сегментации сети, чтобы предотвратить боковое перемещение в сети, и новое устройство было известной уязвимостью, которую вредоносные программы использовали для его заражения.

Результат

Исследователь безопасности удалил вредоносные программы с нового устройства, завершил устранение атаки и обнаружил слабость сети в процессе.

Следующий шаг