Översikt över Azure Firewall med Microsoft Sentinel
Nu kan du få både identifiering och skydd i form av en lättdistribuerad Azure Firewall-lösning för Azure Sentinel.
Säkerhet är en konstant balans mellan proaktiva och reaktiva skydd. De är båda lika viktiga, och ingen av dem kan försummas. Att effektivt skydda din organisation innebär att ständigt optimera både förebyggande och identifiering.
Genom att kombinera förebyggande och identifiering kan du se till att du både förhindrar avancerade hot när du kan, samtidigt som du upprätthåller en förutsätten mentalitet för intrång för att upptäcka och snabbt svara på cyberattacker.
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
Viktiga funktioner
När du integrerar Azure Firewall med Microsoft Sentinel aktiverar du följande funktioner:
- Övervaka och visualisera Azure Firewall-aktiviteter
- Identifiera hot och tillämpa AI-stödda undersökningsfunktioner
- Automatisera svar och korrelation till andra källor
Hela upplevelsen paketeras som en lösning på Microsoft Sentinel-marknadsplatsen, vilket innebär att den kan distribueras relativt enkelt.
Distribuera och aktivera Azure Firewall-lösningen för Microsoft Sentinel
Du kan snabbt distribuera lösningen från innehållshubben. Från din Microsoft Sentinel-arbetsyta väljer du Analys och sedan Mer innehåll på innehållshubben. Sök efter och välj Azure Firewall och välj sedan Installera.
När du har installerat väljer du Hantera följ alla steg i guiden, godkänn verifieringen och skapa lösningen. Med bara några få val distribueras allt innehåll, inklusive anslutningsappar, identifieringar, arbetsböcker och spelböcker på din Microsoft Sentinel-arbetsyta.
Övervaka och visualisera Azure Firewall-aktiviteter
Med Azure Firewall-arbetsboken kan du visualisera Azure Firewall-händelser. Med den här arbetsboken kan du:
- Lär dig mer om dina program- och nätverksregler
- Se statistik för brandväggsaktiviteter mellan URL:er, portar och adresser
- Filtrera efter brandvägg och resursgrupp
- Filtrera dynamiskt per kategori med lättläst datamängder när du undersöker ett problem i loggarna.
Arbetsboken innehåller en enda instrumentpanel för löpande övervakning av brandväggsaktiviteten. När det gäller hotidentifiering, undersökning och svar tillhandahåller Azure Firewall-lösningen även inbyggda identifierings- och jaktfunktioner.
Identifiera hot och använda AI-assisterad undersökningsfunktioner
Lösningens identifieringsregler ger Microsoft Sentinel en kraftfull metod för att analysera Azure Firewall-signaler för att identifiera trafik som representerar skadliga aktivitetsmönster som passerar genom nätverket. På så sätt kan hoten snabbt åtgärdas och åtgärdas.
Angreppsstegen som en angripare utför i brandväggslösningen segmenteras baserat på MITRE ATT&CK-ramverket . MITRE-ramverket är en serie steg som spårar faser av en cyberattack från de tidiga rekognoseringsstegen till exfiltreringen av data. Ramverket hjälper försvarare att förstå och bekämpa utpressningstrojaner, säkerhetsöverträdelser och avancerade attacker.
Lösningen innehåller identifieringar för vanliga scenarier som en angripare kan använda som en del av attacken, som sträcker sig från identifieringssteget (få kunskap om systemet och det interna nätverket) via kommando-och-kontroll-fasen (C2) (kommunicera med komprometterade system för att kontrollera dem) till exfiltreringssteget (angripare som försöker stjäla data från organisationen).
| Identifieringsregel | Vad gör den? | Vad indikerar det? |
|---|---|---|
| Portgenomsökning | Identifierar en käll-IP-genomsökning av flera öppna portar i Azure Firewall. | Skadlig genomsökning av portar av en angripare, försöker avslöja öppna portar i organisationen som kan komprometteras för inledande åtkomst. |
| Portsvepning | Identifierar en käll-IP-genomsökning av samma öppna portar på olika IP-adresser i Azure Firewall. | Skadlig genomsökning av en port av en angripare som försöker avslöja IP-adresser med specifika sårbara portar öppna i organisationen. |
| Onormal neka-frekvens för käll-IP | Identifierar en onormal nekandefrekvens för en specifik käll-IP till en mål-IP baserat på maskininlärning som utförts under en konfigurerad period. | Potentiell exfiltrering, inledande åtkomst eller C2, där en angripare försöker utnyttja samma sårbarhet på datorer i organisationen, men Azure Firewall-regler blockerar den. |
| Onormal port till protokoll | Identifierar kommunikation för ett välkänt protokoll via en port som inte är standard baserat på maskininlärning som utförts under en aktivitetsperiod. | Skadlig kommunikation (C2) eller exfiltrering av angripare som försöker kommunicera via kända portar (SSH, HTTP) men använder inte de kända protokollrubrikerna som matchar portnumret. |
| Flera källor som påverkas av samma TI-mål | Identifierar flera datorer som försöker nå samma mål som blockeras av hotinformation (TI) i Azure Firewall. | En attack på organisationen av samma attackgrupp som försöker exfiltera data från organisationen. |
Jaktfrågor
Jaktfrågor är ett verktyg för säkerhetsforskaren att söka efter hot i en organisations nätverk, antingen efter att en incident har inträffat eller proaktivt för att upptäcka nya eller okända attacker. För att göra detta tittar säkerhetsforskare på flera indikatorer på kompromisser (IOCs). De inbyggda Azure Sentinel-jaktfrågorna i Azure Firewall-lösningen ger säkerhetsforskare de verktyg de behöver för att hitta aktiviteter med hög påverkan från brandväggsloggarna. Flera exempel är:
| Jaktfråga | Vad gör den? | Vad indikerar det? |
|---|---|---|
| Första gången en käll-IP ansluter till målporten | Hjälper till att identifiera en vanlig indikation på en attack (IOA) när en ny värd eller IP försöker kommunicera med ett mål med hjälp av en specifik port. | Baserat på att lära sig den vanliga trafiken under en angiven period. |
| Första gången käll-IP ansluter till ett mål | Hjälper till att identifiera en IOA när skadlig kommunikation görs för första gången från datorer som aldrig har använt målet tidigare. | Baserat på att lära sig den vanliga trafiken under en angiven period. |
| Käll-IP ansluter onormalt till flera mål | Identifierar en käll-IP som onormalt ansluter till flera mål. | Anger inledande åtkomstförsök av angripare som försöker hoppa mellan olika datorer i organisationen, utnyttja laterala rörelsevägar eller samma sårbarhet på olika datorer för att hitta sårbara datorer att komma åt. |
| Ovanlig port för organisationen | Identifierar onormala portar som används i organisationsnätverket. | En angripare kan kringgå övervakade portar och skicka data via ovanliga portar. Detta gör att angriparna kan undvika identifiering från rutinmässiga identifieringssystem. |
| Ovanlig portanslutning till mål-IP | Identifierar onormala portar som används av datorer för att ansluta till en mål-IP. | En angripare kan kringgå övervakade portar och skicka data via ovanliga portar. Detta kan också indikera en exfiltreringsattack från datorer i organisationen med hjälp av en port som aldrig har använts på datorn för kommunikation. |
Automatisera svar och korrelation till andra källor
Slutligen innehåller Azure Firewall även Azure Sentinel-spelböcker som gör att du kan automatisera svar på hot. Anta till exempel att brandväggen loggar en händelse där en viss enhet i nätverket försöker kommunicera med Internet via HTTP-protokollet via en icke-standard-TCP-port. Den här åtgärden utlöser en identifiering i Azure Sentinel. Spelboken automatiserar ett meddelande till säkerhetsåtgärdsteamet via Microsoft Teams, och säkerhetsanalytikerna kan blockera enhetens käll-IP-adress med ett enda val. Detta hindrar den från att komma åt Internet tills en undersökning kan slutföras. Spelböcker gör att den här processen kan vara mycket effektivare och effektivare.
Exempel på verklig värld
Nu ska vi titta på hur den helt integrerade lösningen ser ut i ett verkligt scenario.
Attacken och det första förebyggandet av Azure Firewall
En säljare i företaget har av misstag öppnat ett nätfiskemeddelande och öppnat en PDF-fil som innehåller skadlig kod. Den skadliga koden försöker omedelbart ansluta till en skadlig webbplats, men Azure Firewall blockerar den. Brandväggen identifierade domänen med microsofts hotinformationsflöde som den använder.
Svaret
Anslutningsförsöket utlöser en identifiering i Azure Sentinel och startar spelboksautomationsprocessen för att meddela säkerhetsåtgärdsteamet via en Teams-kanal. Där kan analytikern blockera datorn från att kommunicera med Internet. Säkerhetsteamet meddelar sedan IT-avdelningen som tar bort skadlig kod från försäljningsrepresentantens dator. Men med den proaktiva metoden och titta djupare tillämpar säkerhetsforskaren Azure Firewall-jaktfrågorna och kör käll-IP-adressen onormalt ansluter till flera målfråga . Detta avslöjar att skadlig kod på den infekterade datorn försökte kommunicera med flera andra enheter i det bredare nätverket och försökte komma åt flera av dem. Ett av dessa åtkomstförsök lyckades, eftersom det inte fanns någon korrekt nätverkssegmentering för att förhindra den laterala förflyttningen i nätverket, och den nya enheten hade en känd sårbarhet som den skadliga koden utnyttjade för att infektera den.
Resultatet
Säkerhetsforskaren tog bort den skadliga koden från den nya enheten, slutförde åtgärden och upptäckte en nätverkssvaghet i processen.