Рекомендации по мониторингу и обнаружению угроз

Применимо к этой рекомендации Power Platform контрольного списка хорошо спроектированной безопасности:

СЭ:08	Внедрите комплексную стратегию мониторинга, основанную на современных механизмах обнаружения угроз, которые можно интегрировать с платформой. Механизмы должны надежно предупреждать о выставленных приоритетах и отправлять сигналы в существующие процессы безопасности.

В этом руководстве описаны рекомендации по мониторингу и обнаружению угроз. Мониторинг, по сути, представляет собой процесс получения информации об уже произошедших событиях. Мониторинг безопасности — это практика сбора информации на разных уровнях рабочей нагрузки (идентификаторы, потоки, приложения, операции) с целью получить информацию о подозрительных действиях. Цель состоит в том, чтобы предсказать инциденты и извлечь уроки из прошлых событий. Данные мониторинга обеспечивают основу для анализа произошедшего после инцидента, что помогает реагировать на инциденты и проводить расследования по собранным материалам.

Мониторинг — это подход к достижению операционного совершенства, который применяется ко всем Power Platform основам хорошо продуманной архитектуры. В этом руководстве представлены рекомендации только с точки зрения безопасности. Общие понятия мониторинга изложены в статье Рекомендациях по проектированию и созданию системы мониторинга.

Определения

Термин	Определение
Журналы аудита	Запись действий в системе.
Управление информационной безопасностью и событиями безопасности (SIEM)	Подход, в котором используются встроенные возможности обнаружения угроз и анализа на основе данных, собранных из нескольких источников.
Обнаружение угроз	Стратегия обнаружения отклонений от ожидаемых действий с помощью собранных, проанализированных и коррелированных данных.
Аналитика угроз	Стратегия для интерпретации данных об обнаружении угроз для обнаружения подозрительной активности или угроз путем изучения закономерностей.
Предотвращение угроз	Средства безопасности, которые размещаются в рабочей нагрузке на разных высотах для защиты ее активов.

Ключевые стратегии проектирования

Основной целью мониторинга безопасности является обнаружение угроз. Основная цель — предотвратить потенциальные нарушения безопасности и поддерживать безопасную среду. Однако не менее важно осознавать, что не все угрозы можно превентивно заблокировать. В таких случаях мониторинг также служит механизмом выявления причины инцидента безопасности, который произошел, несмотря на усилия по предотвращению.

К мониторингу можно подходить с разных точек зрения:

• Мониторинг на разных высотах. Наблюдение с различной высоты — это процесс получения информации о пользовательских потоках, доступе к данным, личности, сети и даже операционной системе. Каждая из этих областей предлагает уникальную аналитику, которая может помочь вам выявить отклонения от ожидаемого поведения, установленного в соответствии с базовым уровнем безопасности. И наоборот, постоянный мониторинг системы и приложений с течением времени может помочь установить эту базовую позицию. Например, вы обычно можете наблюдать около 1000 попыток входа в вашу систему идентификации каждый час. Если ваш мониторинг обнаруживает всплеск в 50 000 попыток входа в течение короткого периода времени, возможно, злоумышленник пытается получить доступ к вашей системе.

• Мониторинг при различных масштабах воздействия. Очень важно наблюдать за приложением и платформой. Предположим, что пользователь приложения случайно получил повышенные привилегии или произошло нарушение безопасности. Если пользователь выполняет действия, выходящие за рамки назначенной области, влияние может ограничиваться действиями, которые могут выполнять другие пользователи.

  Однако если внутренняя сущность скомпрометирует базу данных, степень потенциального ущерба является неопределенной.

  Радиус поражения или масштаб воздействия могут существенно различаться в зависимости от того, какой из этих сценариев произойдет.

• Используйте специализированные инструменты мониторинга. Очень важно инвестировать в специализированные инструменты, которые могут постоянно выполнять сканирование для поиска аномального поведения, которое может указывать на атаку. Большинство этих инструментов имеют возможности аналитики угроз, которая может выполнять прогнозный анализ на основе большого объема данных и известных угроз. Большинство инструментов не являются инструментами без отслеживания состояния, и они включают глубокое понимание телеметрии в контексте безопасности.

  Инструменты должны быть интегрированы с платформой или, по крайней мере, осведомлены о ней, чтобы получать глубокие сигналы от платформы и делать прогнозы с высокой точностью. Они должны иметь возможность своевременно генерировать оповещения с достаточным количеством информации для проведения надлежащей сортировки. Использование слишком большого количества разнообразных инструментов может привести к сложности.

• Используйте мониторинг для реагирования на инциденты. Агрегированные данные, преобразованные в действенную информацию, обеспечивает быструю и эффективную реакцию на инциденты. Мониторинг помогает в действиях после инцидента. Цель — собрать достаточно данных, чтобы проанализировать и понять, что произошло. Процесс мониторинга собирает информацию о прошлых событиях для расширения возможностей реагирования и потенциального прогнозирования будущих инцидентов.

В следующих разделах представлены рекомендуемые методы, которые включают предыдущие аспекты мониторинга.

Сбор данных, чтобы отслеживать действия

Цель состоит в том, чтобы вести полный журнал аудита событий, важных с точки зрения безопасности. Ведение журнала — наиболее распространенный способ сбора данных о шаблонах доступа. Ведение журнала должно выполняться для приложения и платформы.

Для журнала аудита вам необходимо установить, что, когда и кто связан с действиями. Вам необходимо определить конкретные временные рамки выполнения действий. Сделайте эту оценку при моделировании угроз. Чтобы противодействовать угрозе отказа, вам следует создать надежную систему регистрации и аудита, которая приведет к регистрации действий и транзакций.

В следующих разделах описаны варианты использования некоторых распространенных уровней рабочей нагрузки.

Потоки пользователей рабочей нагрузки

Ваша рабочая нагрузка должна быть спроектирована таким образом, чтобы обеспечить видимость событий во время выполнения. Определите критические точки в вашей рабочей нагрузке и настройте ведение журнала для этих точек. Важно признавать любое повышение привилегий пользователя, действия, выполненные пользователем, а также то, получил ли пользователь доступ к конфиденциальной информации в безопасном хранилище данных. Отслеживайте действия пользователя и сеанса пользователя.

Чтобы облегчить такое отслеживание, код должен быть инструментирован посредством структурированного ведения журнала. Это обеспечивает простые и единообразные запросы и фильтрацию журналов.

Важно

Вам необходимо обеспечить ответственное ведение журнала, чтобы сохранить конфиденциальность и целостность вашей системы. Секреты и конфиденциальные данные не должны появляться в журналах. Помните об утечке личных данных и других требованиях соответствия при сборе данных журнала.

Мониторинг удостоверений и доступа

Ведите тщательную запись шаблонов доступа к приложению и изменений ресурсов платформы. Имейте надежные журналы действий и механизмы обнаружения угроз, особенно для действий, связанных с удостоверениями, поскольку злоумышленники часто пытаются манипулировать удостоверениями для получения несанкционированного доступа.

Внедрите комплексное ведение журнала, используя все доступные точки данных. Например, включите IP-адрес клиента, чтобы отличать обычную активность пользователя от потенциальных угроз из неожиданных мест. Все события ведения журнала должны иметь временную метку сервера.

Записывайте все действия по доступу к ресурсам, фиксируя, кто что делает и когда. Случаи повышения привилегий представляют собой серьезную точку данных, которые необходимо фиксировать. Действия, связанные с созданием или удалением учетной записи приложением, также должны фиксироваться. Эта рекомендация распространяется на секреты приложений. Отслеживайте, кто имеет доступ к секретам и когда они меняются.

Хотя регистрация успешных действий важна, запись сбоев необходима с точки зрения безопасности. Документируйте любые нарушения, например, когда пользователь пытается выполнить действие, но сталкивается с ошибкой авторизации, попытки доступа к несуществующим ресурсам и другие действия, которые кажутся подозрительными.

Мониторинг сети

Ваша схема сегментации должна позволять точкам наблюдения на границах отслеживать то, что их пересекает, и регистрировать эти данные. Например, отслеживайте подсети, в которых есть группы сетевой безопасности, генерирующие журналы потоков. Также отслеживайте журналы брандмауэра, в которых показаны разрешенные или запрещенные потоки.

Существуют журналы доступа для входящих запросов на подключение. В этих журналах записываются исходные IP-адреса, которые инициируют запросы, тип запроса (GET, POST) и вся другая информация, входящая в состав запросов.

Захват потоков DNS является важным требованием для многих организаций. Например, журналы DNS могут помочь определить, какой пользователь или устройство инициировал конкретный DNS-запрос. Сопоставляя активность DNS с журналами аутентификации пользователей/устройств, вы можете отслеживать действия отдельных клиентов. Эта ответственность часто распространяется на группу рабочей нагрузки, особенно если они развертывают что-либо, что делает DNS-запросы частью их работы. Анализ DNS-трафика — ключевой аспект наблюдения за безопасностью платформы.

Важно отслеживать неожиданные DNS-запросы или DNS-запросы, направленные к известным конечным точкам управления и контроля.

Компромисс: Регистрация всех сетевых действий может привести к большому объему данных. К сожалению, невозможно фиксировать только неблагоприятные события, поскольку их можно выявить только после того, как они произошли. Принимайте стратегические решения о типе событий, которые необходимо фиксировать, и о том, как долго их хранить. Если вы не будете осторожны, управление данными может оказаться исключительно сложным. Существует также компромисс по стоимости хранения этих данных.

Фиксация изменений системы

Чтобы поддерживать целостность вашей системы, вам необходимо иметь точную и актуальную запись состояния системы. Если есть изменения, вы можете использовать эту запись для оперативного решения любых возникающих вопросов.

Процессы сборки также должны отправлять телеметрию. Понимание контекста безопасности событий является ключевым моментом. Знание того, что инициировало процесс сборки, кто его инициировал и когда он был запущен, может дать ценную информацию.

Отслеживайте, когда ресурсы создаются и когда они выводятся из эксплуатации. Эту информацию необходимо извлечь из платформы. Эта информация дает ценную аналитику для управления ресурсами и подотчетности.

Отслеживайте дрейф в конфигурации ресурса. Документируйте любые изменения в существующем ресурсе. Также отслеживайте изменения, которые не завершаются в рамках развертывания в группе ресурсов. Журналы должны отражать особенности изменения и точное время, когда оно произошло.

Получите полное представление с точки зрения внесения исправлений о том, является ли система актуальной и безопасной. Контролируйте стандартные процессы обновления , чтобы убедиться, что они завершаются по плану. Незавершенный процесс исправления безопасности следует рассматривать как уязвимость. Вам также следует вести реестр, в котором будут записываться уровни исправлений и любая другая необходимая информация.

Обнаружение изменений также применимо к операционной системе. Это предполагает отслеживание того, добавляются или отключаются службы. Также сюда входит мониторинг добавления новых пользователей в систему. Существуют инструменты, предназначенные для операционной системы. Они помогают осуществлять бесконтекстный мониторинг в том смысле, что не нацелены на функциональность рабочей нагрузки. Например, мониторинг целостности файлов — это важнейший инструмент, позволяющий отслеживать изменения в системных файлах.

Вам следует настроить оповещения об этих изменениях, особенно если вы не ожидаете, что они будут происходить часто.

Важно

При развертывании в рабочей среде убедитесь, что оповещения настроены на обнаружение аномальной активности, обнаруженной в ресурсах приложения и процессе сборки.

В ваших планах тестирования включите проверку ведения журнала и оповещений как приоритетные тестовые случаи.

Хранение, агрегирование и анализ данных

Данные, собранные в результате такой деятельности по мониторингу, должны храниться в хранилищах данных, где их можно тщательно анализировать. исследовать, нормализовать и коррелировать. Данные безопасности должны храниться за пределами собственных хранилищ данных системы. Приемники мониторинга, будь они локализованными или централизованными, должны пережить источники данных. Приемники не могут быть эфемерными, потому что приемники являются источником для систем обнаружения вторжений.

Сетевые журналы могут быть многословными и занимать много места. Изучите различные уровни систем хранения данных. Со временем журналы могут естественным образом перейти в более холодное хранилище. Этот подход выгоден, поскольку старые журналы потоков обычно не используются активно и нужны только по требованию. Этот метод обеспечивает эффективное управление хранилищем, а также гарантирует, что вы сможете получить доступ к историческим данным, когда вам это необходимо.

Потоки вашей рабочей нагрузки обычно представляют собой совокупность нескольких источников журналов. Данные мониторинга должны быть разумно проанализировано по всем этим источникам. Например, ваш брандмауэр будет блокировать только трафик, который достигает его. Если у вас есть группа безопасности сети, которая уже заблокировала определенный трафик, этот трафик не виден брандмауэру. Чтобы восстановить последовательность событий, необходимо агрегировать данные всех компонентов, находящихся в потоке, а затем агрегировать данные всех потоков. Эти данные особенно полезны в сценарии реагирования после инцидента, когда вы пытаетесь понять, что произошло. Очень важно точно вести хронометраж. В целях безопасности всем системам необходимо использовать сетевой источник времени, чтобы они всегда были синхронизированы.

Централизованное обнаружение угроз с помощью коррелированных журналов

Вы можете использовать такую систему, как управление информационной безопасностью и событиями безопасности (SIEM), для консолидации данных безопасности в центральном месте, где их можно сопоставлять между различными службами. Эти системы имеют встроенные механизмы обнаружения угроз. Они могут подключаться к внешним каналам для получения данных об угрозах. Microsoft, например, публикует данные об угрозах, которые вы можете использовать. Вы также можете купить каналы аналитики об угрозах у других поставщиков, таких как Anomali и FireEye. Эти каналы могут предоставить ценную информацию и повысить уровень вашей безопасности. Информацию об угрозах от Microsoft см. в разделе Security Insider.

Система SIEM может генерировать оповещения на основе коррелированных и нормализованных данных. Эти оповещения являются важным ресурсом в процессе реагирования на инциденты.

Компромисс: Системы SIEM могут быть дорогими, сложными и требовать специализированного навыки. Однако если у вас ее нет, возможно, вам придется сопоставлять данные самостоятельно. Это может оказаться трудоемким и сложным процессом.

Системы SIEM обычно управляются центральными командами организации. Если в вашей организации ее нет, подумайте о том, чтобы пропагандировать ее. Это могло бы облегчить бремя ручного анализа и корреляции журналов, чтобы обеспечить более эффективное и действенное управление безопасностью.

Некоторые экономически эффективные варианты предоставлены Microsoft. Многие Microsoft продукты Defender предоставляют функцию оповещения системы SIEM, но без функции агрегации данных.

Объединив несколько более мелких инструментов, вы можете эмулировать некоторые функции SIEM-системы. Однако вам необходимо знать, что эти временные решения могут оказаться неспособными выполнить корреляционный анализ. Эти альтернативы могут быть полезны, но они не могут полностью заменить функциональность выделенной SIEM-системы.

Обнаружение злоупотреблений

Будьте проактивны в обнаружении угроз и будьте бдительны в отношении признаков злоупотреблений, таких как атаки методом подбора идентификационных данных на компонент SSH или RDP конечная точка. Хотя внешние угрозы могут создавать много шума, особенно если приложение подключено к Интернету, внутренние угрозы часто вызывают большую озабоченность. Например, неожиданная атака методом перебора из доверенного сетевого источника или непреднамеренная неправильная конфигурация должны быть немедленно расследованы.

Продолжайте в том же духе. Мониторинг не заменяет опережающее усиление защиты вашей среды. Большая площадь поверхности подвержена большему количеству атак. Ужесточайте контроль настолько, насколько это практично. Обнаруживайте и отключайте неиспользуемые учетные записи, используйте IP-брандмауэр и блокируйте конечные точки, которые не требуются, например, для политик защиты от потери данных.

Обнаружение на основе сигнатур может детально проверить систему. Он предполагает поиск признаков или корреляций между действиями, которые могут указывать на потенциальное нападение. Механизм обнаружения может идентифицировать определенные характеристики, указывающие на конкретный тип атаки. Не всегда возможно напрямую обнаружить механизм управления и контроля атаки. Однако часто существуют подсказки или закономерности, связанные с конкретным процессом управления и контроля. Например, об атаке может свидетельствовать определенная скорость потока с точки зрения запросов или она может часто обращаться к доменам, имеющим определенные окончания.

Обнаруживайте аномальные шаблоны доступа пользователей, чтобы вы могли выявлять и исследовать отклонения от ожидаемых шаблонов. Это предполагает сравнение текущего поведения пользователя с прошлым поведением для выявления аномалий. Хотя выполнить эту задачу вручную может оказаться невозможным, вы можете использовать для этого инструменты анализа угроз. Инвестируйте в инструменты анализа поведения пользователей и сущностей (UEBA), которые собирают поведение пользователей на основе данных мониторинга и анализируют его. Эти инструменты часто могут выполнять прогнозный анализ, который сопоставляет подозрительное поведение с потенциальными типами атак.

Обнаруживайте угрозы на этапах до и после развертывания. На этапе перед развертыванием включите сканирование уязвимостей в конвейеры и предпримите необходимые действия на основе результатов. После развертывания продолжайте сканирование уязвимостей. Вы можете использовать такие инструменты, как Microsoft Defender for Containers, который сканирует образы контейнеров. Включите результаты в собранные данные. Информацию о методах безопасной разработки см. в Рекомендациях по безопасному развертыванию.

Возможности в Power Platform

В следующих разделах описаны механизмы, которые можно использовать для мониторинга и обнаружения угроз в Power Platform.

Microsoft Страж

Microsoft Решение Sentinel для Microsoft Power Platform позволяет клиентам обнаруживать различные подозрительные действия, в том числе:

• Исполнение Power Apps из несанкционированных географических регионов
• Подозрительное уничтожение данных Power Apps
• Массовое удаление Power Apps
• Фишинговые атаки, осуществленные через Power Apps
• Активность потоков Power Automate со стороны увольняющихся сотрудников
• Соединители Microsoft Power Platform, добавленные в среду
• Обновление или удаление политик защиты от потери данных Microsoft Power Platform

Для получения дополнительной информации см. Microsoft Обзор решения Sentinel Microsoft Power Platform .

Microsoft Ведение журнала активности Purview

Power Apps, Power Automate, коннекторы, предотвращение потери данных и Power Platform регистрация административной активности отслеживаются и просматриваются на портале соответствия требованиям Purview. Microsoft

Дополнительные сведения:

• Power Apps ведение журнала активности
• Power Automate ведение журнала активности
• Copilot Studio ведение журнала активности
• Power Pages ведение журнала активности
• Power Platform регистрация активности коннектора
• Регистрация действий по предотвращению потери данных
• Power Platform административные действия регистрация активности
• Microsoft Dataverse и регистрация активности приложений на основе моделей

Аудит Dataverse

Аудит базы данных регистрирует изменения, вносимые в записи клиентов, в среде с базой данных Dataverse. Аудит Dataverse также регистрирует события доступа пользователей через приложение или через SDK в среде. Этот аудит включен на уровне среды, и для отдельных таблиц и столбцов требуется дополнительная настройка. Дополнительные сведения см. в разделе Управление аудитом Dataverse.

Анализ телеметрии с помощью Application Insights

Application Insights, функция Azure Monitor, широко используется в корпоративной среде для мониторинга и диагностики. Данные, которые уже были собраны от конкретного клиента или среды, передаются в вашу среду Application Insights. Данные хранятся в журналах Azure Monitor с помощью Application Insights, и визуализируется на панелях производительности и сбоев в разделе исследований в левой области. Данные экспортируются в вашу среду Application Insights в стандартной схеме, определяемой Application Insights. Служба поддержки, разработчик и администратор могут использовать эту функцию для сортировки и решения проблем.

Вы также можете:

• Настроить среду Application Insights для получения телеметрии по диагностике и производительности, захваченной платформой Dataverse.
• Подписаться на получение телеметрии об операциях, которые приложения выполняют на вашей базы данных Dataverse и в приложениях на основе модели. Эта телеметрия предоставляет информацию, которую можно использовать для диагностики и устранения проблем, связанных с ошибками и производительностью.
• Настройте облачные потоки Power Automate для интеграции с Application Insights.
• Записывайте события и действия из приложений Power Apps на основе холста в Application Insights.

Дополнительные сведения см. в разделе Обзор интеграции с Application Insights.

Удостоверение

Отслеживайте события с удостоверениями, связанные с рисками для потенциально скомпрометированных учетных данных, и устраняйте эти риски. Просмотрите зарегистрированные события риска следующим образом:

• Используйте отчеты Microsoft Entra ID. Дополнительную информацию см. в разделах Что такое защита удостоверений? и Защита удостоверений.

• Используйте элементы API обнаружения рисков Identity Protection, чтобы получить программный доступ к обнаружениям безопасности через Microsoft Graph. Для получения дополнительной информации см. riskDetection и riskyUser.

Microsoft Entra ID использует адаптивные алгоритмы машинного обучения, эвристику и известные скомпрометированные учетные данные (пары «имя пользователя и пароль») для обнаружения подозрительных действий, связанных с вашими учетными записями пользователей. Эти пары имени пользователя и пароля выявляются путем мониторинга публичного и даркнета, а также в результате сотрудничества с исследователями в области безопасности, правоохранительными органами, группами безопасности в Microsoft и другими.

Azure Pipelines

DevOps выступает за управление изменениями рабочих нагрузок посредством непрерывной интеграции и непрерывной доставки (CI/CD). Обязательно добавьте проверку безопасности в конвейеры. Следуйте инструкциям, описанным в разделе Защита Azure Pipelines.

Дополнительные сведения

• Что такое Microsoft Sentinel?
• Интеграция разведки угроз в Microsoft Sentinel
• Выявляйте сложные угрозы с помощью аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel

Контрольный список безопасности

Обратитесь к полному набору рекомендаций.

Контрольный список безопасности