Поділитися через


Рекомендації щодо моніторингу та виявлення загроз

Стосується цієї Power Platform рекомендації щодо контрольного списку Well-Architected Security:

СЕ:08 Впровадьте цілісну стратегію моніторингу, яка спирається на сучасні механізми виявлення загроз, які можна інтегрувати з платформою. Механізми повинні надійно попереджати про сортування та надсилати сигнали в існуючі процеси SecOps.

У цьому посібнику описано рекомендації щодо моніторингу та виявлення загроз. Моніторинг – це, по суті, процес отримання інформації про події, які вже відбулися. Моніторинг безпеки – це практика збору інформації на різних висотах робочого навантаження (особистість, потоки, застосування, операції) для отримання обізнаності про підозрілі дії. Мета полягає в тому, щоб передбачати інциденти та вчитися на минулих подіях. Дані моніторингу є основою для аналізу того, що сталося після інциденту, щоб допомогти реагуванню на інциденти та криміналістичним розслідуванням.

Моніторинг – це підхід операційної досконалості, який застосовується в усіх Power Platform добре архітектурних стовпах. Цей посібник містить рекомендації лише з точки зору безпеки. Загальні поняття моніторингу висвітлені в Рекомендаціях по проектуванню і створенню системи моніторингу.

Визначення

Термін Визначення
Журнали відстеження Запис дій у системі.
Безпека інформації та керування подіями (SIEM) Підхід, який використовує вбудовані можливості виявлення загроз і розвідки на основі даних, зібраних із кількох джерел.
Виявлення загроз Стратегія виявлення відхилень від очікуваних дій за допомогою зібраних, проаналізованих та корельованих даних.
Розвідка загроз Стратегія інтерпретації даних виявлення загроз для виявлення підозрілої активності або загроз шляхом вивчення закономірностей.
Запобігання загрозам Елементи контролю безпеки, які розміщуються в робочому навантаженні на різній висоті для захисту своїх активів.

Ключові стратегії дизайну

Основною метою моніторингу безпеки є виявлення загроз. Основна мета – запобігти потенційним порушенням безпеки та підтримувати безпечне середовище. Однак не менш важливо розуміти, що не всі загрози можна превентивно заблокувати. У таких випадках моніторинг також слугує механізмом для виявлення причини інциденту безпеки, який стався, незважаючи на зусилля щодо запобігання.

До моніторингу можна підійти з різних точок зору:

  • Спостерігайте на різних висотах. Спостереження з різних висот – це процес отримання інформації про потоки користувачів, доступ до даних, особистість, мережу і навіть операційну систему. Кожна з цих областей пропонує унікальну статистику, яка може допомогти вам виявити відхилення від очікуваної поведінки, яка встановлена відповідно до базового рівня безпеки. І навпаки, постійний моніторинг системи та додатків протягом певного часу може допомогти встановити цей базовий стан. Наприклад, зазвичай ви бачите близько 1 000 спроб входу у свою систему ідентифікації щогодини. Якщо ваш моніторинг виявляє сплеск із 50 000 спроб входу протягом короткого періоду, можливо, зловмисник намагається отримати доступ до вашої системи.

  • Контролюйте в різних зонах впливу. Дуже важливо спостерігати за додатком і платформою. Припустимо, що користувач програми випадково отримує підвищені привілеї або відбувається порушення безпеки. Якщо користувач виконує дії, що виходять за межі визначеного обсягу, вплив може обмежуватися діями, які можуть виконувати інші користувачі.

    Однак, якщо внутрішня організація скомпрометує базу даних, масштаб потенційної шкоди невизначений.

    Радіус вибуху або масштаб удару можуть значно відрізнятися, залежно від того, який із цих сценаріїв відбувається.

  • Використовуйте спеціалізовані інструменти моніторингу. Дуже важливо інвестувати в спеціалізовані інструменти , які можуть постійно сканувати аномальну поведінку, яка може вказувати на атаку. Більшість із цих інструментів мають можливості розвідки загроз, які можуть виконувати прогнозний аналіз на основі великого обсягу даних і відомих загроз. Більшість інструментів не є stateless і включають глибоке розуміння телеметрії в контексті безпеки.

    Інструменти мають бути інтегровані в платформу або, принаймні, орієнтуватися на платформу, щоб отримувати глибокі сигнали від платформи та робити прогнози з високою точністю. Вони повинні бути в змозі своєчасно генерувати сповіщення з достатньою кількістю інформації для проведення належного сортування. Використання занадто великої кількості різноманітних інструментів може призвести до складності.

  • Використовуйте моніторинг для реагування на інциденти. Агреговані дані, перетворені на дієву розвідувальну інформацію, дозволяють швидко та ефективно реагувати на інциденти. Моніторинг допомагає з діяльністю після інциденту. Мета полягає в тому, щоб зібрати достатньо даних для аналізу та розуміння того, що сталося. Процес моніторингу збирає інформацію про минулі події для посилення реактивних можливостей і потенційного прогнозування майбутніх інцидентів.

У наступних розділах наведено рекомендовані практики, які враховують попередні перспективи моніторингу.

Збирайте дані, щоб відстежувати дії

Мета полягає в тому, щоб підтримувати всебічний аудиторський журнал подій, які є важливими з точки зору безпеки. Ведення журналу є найпоширенішим способом фіксації шаблонів доступу. Ведення журналу має виконуватися для додатку та платформи.

Для аудиторського сліду вам потрібно встановити , що, коли та хто це пов’язано з діями Вам потрібно визначити конкретні часові рамки, коли виконуються дії. Зробіть цю оцінку під час моделювання загроз. Щоб протидіяти загрозі відмови, вам слід встановити надійні системи реєстрації та аудиту, які призводять до запису дій і транзакцій.

У наступних розділах описано випадки використання для деяких поширених висот робочого навантаження.

Робоче навантаження на потоки користувачів

Ваше робоче навантаження має бути розроблено таким чином, щоб забезпечити видимість під час виконання в разі виникнення подій. Визначте критичні точки у вашому робочому навантаженні та налагодьте протоколювання цих точок. Важливо визнавати будь-яке підвищення привілеїв користувача, дії, виконані користувачем, і те, чи отримував користувач доступ до конфіденційної інформації в захищеному сховищі даних. Слідкуйте за активністю користувача та сеансом користувача.

Щоб полегшити це відстеження, код повинен бути інструментарієм за допомогою структурованого журналювання. Це дозволяє легко та одноманітно запитувати та фільтрувати журнали.

Важливо

Вам потрібно забезпечити відповідальне ведення журналів, щоб зберегти конфіденційність і цілісність вашої системи. Секрети та конфіденційні дані не повинні відображатися в журналах. Пам’ятайте про витік особистих даних та інші вимоги відповідності під час збирання цих даних журналу.

Моніторинг ідентичності та доступу

Ведіть ретельний облік шаблонів доступу до програми та модифікацій ресурсів платформи. Майте надійні журнали активності та механізми виявлення загроз, особливо для дій, пов’язаних з ідентифікацією, оскільки зловмисники часто намагаються маніпулювати особистими даними, щоб отримати несанкціонований доступ.

Впроваджуйте комплексне ведення журналів, використовуючи всі доступні точки даних. Наприклад, додайте IP-адресу клієнта, щоб розрізняти звичайну активність користувача та потенційні загрози з неочікуваних місць. Усі події ведення журналу мають бути позначені часом сервером.

Записуйте всі дії з доступом до ресурсів, фіксуючи, хто що робить і коли вони це роблять. Випадки підвищення привілеїв є важливим моментом даних, який слід реєструвати. Дії, пов’язані зі створенням або видаленням облікового запису додатком, також повинні бути зафіксовані. Ця рекомендація поширюється і на секрети застосування. Слідкуйте за тим, хто має доступ до секретів і коли їх обертають.

Незважаючи на те, що протоколювання успішних дій є важливим, фіксація збоїв необхідна з точки зору безпеки. Документуйте будь-які порушення, як-от спроба користувача виконати дію, але збій авторизації, спроби доступу до неіснуючих ресурсів та інші підозрілі дії.

Моніторинг мережі

Ваш дизайн сегментації повинен дозволяти точкам спостереження на кордонах відстежувати, що їх перетинає, і реєструвати ці дані. Наприклад, відстежуйте підмережі, які мають групи безпеки мережі, що генерують журнали потоків. Також стежте за журналами брандмауера, які показують потоки, які були дозволені або відхилені.

Існують журнали доступу для запитів на вхідне підключення. У цих журналах записуються IP-адреси джерел, які ініціюють запити, тип запиту (GET, POST) та всю іншу інформацію, яка є частиною запитів.

Захоплення DNS-потоків є важливою вимогою для багатьох організацій. Наприклад, журнали DNS можуть допомогти визначити, який користувач або пристрій ініціював певний DNS-запит. Співвідносячи активність DNS із журналами автентифікації користувачів і пристроїв, ви можете відстежувати дії для окремих клієнтів. Ця відповідальність часто поширюється і на команду з робочим навантаженням, особливо якщо вони розгортають щось, що робить DNS-запити частиною їхньої роботи. Аналіз DNS-трафіку є ключовим аспектом спостереження за безпекою платформи.

Важливо відстежувати неочікувані DNS-запити або DNS-запити, спрямовані на відомі кінцеві точки команд і керування.

Компроміс: Ведення журналу всіх мережевих активностей може призвести до отримання великої кількості даних. На жаль, неможливо зафіксувати лише побічні явища, оскільки їх можна виявити лише після їх виникнення. Приймайте стратегічні рішення щодо типу подій для фіксації та тривалості їх зберігання. Якщо ви не будете обережні, керування даними може бути надзвичайно складним. Існує також компроміс щодо вартості зберігання цих даних.

Зміни в системі захоплення

Щоб підтримувати цілісність системи, ви повинні мати точні та актуальні записи про стан системи. Якщо є зміни, ви можете використовувати цей запис для оперативного вирішення будь-яких виниклих проблем.

Процеси збірки також повинні випромінювати телеметрію. Розуміння безпекового контексту подій є ключовим. Знання того, що спричинило процес складання, хто його запустив і коли він був запущений, може надати цінну інформацію.

Відстежуйте , коли ресурси створюються та коли вони виводяться з експлуатації. Ця інформація повинна бути вилучена з платформи. Ця інформація надає цінну інформацію для управління ресурсами та підзвітності.

Слідкуйте за дрейфом у конфігурації ресурсів. Документуйте будь-які зміни в існуючому ресурсі. Крім того, відстежуйте зміни, які не завершуються під час розгортання на флоті ресурсів. Журнали повинні фіксувати специфіку зміни та точний час, коли вона відбулася.

Майте комплексне уявлення про те, чи є система актуальною та безпечною. Слідкуйте за регулярними оновленнями , щоб переконатися, що вони виконуються належним чином. Процес виправлення безпеки, який не завершився, слід вважати вразливістю. Ви також повинні вести інвентаризацію, в якій фіксуються рівні виправлень та будь-які інші необхідні деталі.

Виявлення змін також стосується операційної системи. Це передбачає відстеження того, чи додаються або вимикаються послуги. Він також включає моніторинг додавання нових користувачів до системи. Існують інструменти, призначені для операційної системи. Вони допомагають з безконтекстним моніторингом у тому сенсі, що вони не націлені на функціональність робочого навантаження. Наприклад, моніторинг цілісності файлів є критично важливим інструментом, який дозволяє відстежувати зміни в системних файлах.

Вам слід налаштувати сповіщення про ці зміни, особливо якщо ви не очікуєте, що вони відбуватимуться часто.

Важливо

Коли ви переходите на продакшн, переконайтеся, що сповіщення налаштовано на виявлення аномальної активності, виявленої на ресурсах програми та процесі збірки.

У своїх планах тестування включіть перевірку журналювання та оповіщення як пріоритетні тестові випадки.

Зберігання, агрегування та аналіз даних

Дані, зібрані в результаті цих моніторингових заходів, повинні зберігатися в поглиначах даних, де їх можна ретельно вивчити, нормалізувати та співвіднести. Дані безпеки повинні зберігатися за межами власних сховищ даних системи. Моніторингові поглиначі, незалежно від того, локалізовані вони чи централізовані, повинні пережити джерела даних. Мийки не можуть бути ефемерними , тому що мийки є джерелом для систем виявлення вторгнень.

Мережеві журнали можуть бути багатослівними та займати місце. Вивчіть різні рівні систем зберігання. З часом колоди можуть природним чином переходити на більш холодне зберігання. Цей підхід вигідний, оскільки старі журнали потоку зазвичай не використовуються активно і потрібні лише на вимогу. Цей метод забезпечує ефективне керування сховищем, а також гарантує, що ви можете отримати доступ до історичних даних у разі потреби.

Потоки вашого робочого навантаження зазвичай складаються з кількох джерел журналювання. Дані моніторингу повинні бути розумно проаналізовані з усіх цих джерел. Наприклад, ваш брандмауер блокуватиме лише трафік, який до нього потрапляє. Якщо у вас є група безпеки мережі, яка вже заблокувала певний трафік, цей трафік не відображатиметься брандмауером. Щоб реконструювати послідовність подій, потрібно агрегувати дані з усіх компонентів, які знаходяться в потоці, а потім агрегувати дані з усіх потоків. Ці дані особливо корисні в сценарії реагування після інциденту, коли ви намагаєтеся зрозуміти, що сталося. Точне хронометраж має важливе значення. З міркувань безпеки всі системи повинні використовувати джерело мережевого часу, щоб вони завжди були синхронізовані.

Централізоване виявлення загроз за допомогою корельованих журналів

Ви можете використовувати таку систему, як керування інформацією про безпеку та подіями (SIEM), щоб консолідувати дані безпеки в централізованому розташуванні , де їх можна співвіднести між різними службами. Ці системи мають вбудовані механізми виявлення загроз. Вони можуть підключатися до зовнішніх каналів для отримання даних розвідки загроз. Корпорація Майкрософт, наприклад, публікує дані аналітики загроз, які ви можете використовувати. Ви також можете придбати канали розвідки загроз від інших постачальників, як-от Anomali та FireEye. Ці канали можуть надати цінну інформацію та покращити вашу безпеку. Статистику загроз від корпорації Майкрософт можна знайти в статті Security Insider.

Система SIEM може генерувати оповіщення на основі корельованих і нормалізованих даних. Ці сповіщення є важливим ресурсом під час процесу реагування на інциденти.

Компроміс: SIEM-системи можуть бути дорогими, складними та вимагати спеціалізованих навичок. Однак, якщо у вас його немає, вам може знадобитися співвіднести дані самостійно. Це може бути трудомістким і складним процесом.

Управління SIEM-системами зазвичай здійснюється центральними командами організації. Якщо у вашій організації його немає, подумайте про те, щоб виступити за нього. Це може полегшити тягар ручного аналізу журналів і кореляції, щоб забезпечити більш ефективне та результативне управління безпекою.

Деякі економічно вигідні варіанти надає Microsoft. Багато продуктів Microsoft Defender надають функцію оповіщення системи SIEM, але без функції агрегації даних.

Поєднуючи кілька більш дрібних інструментів, можна емулювати деякі функції SIEM-системи. Однак ви повинні знати, що ці імпровізовані рішення можуть бути не в змозі провести кореляційний аналіз. Ці альтернативи можуть бути корисними, але вони можуть не повністю замінити функціональність виділеної системи SIEM.

Виявляйте порушення

Виявляйте загрози на випередження та будьте пильними щодо ознак зловживань, як-от атаки грубої сили на компонент SSH або кінцеву точку RDP. Хоча зовнішні загрози можуть генерувати багато шуму, особливо якщо програма піддається впливу Інтернету, внутрішні загрози часто викликають більше занепокоєння. Наприклад, несподівана атака грубої сили з надійного мережевого джерела або ненавмисна неправильна конфігурація повинні бути негайно розслідувані.

Дотримуйтесь своїх практик загартовування. Моніторинг не замінить активного загартовування навколишнього середовища. Більша площа поверхні схильна до більшої кількості атак. Посилюйте контроль так само, як і практикуйтеся. Виявляйте та вимикайте облікові записи, які не використовуються, використовуйте IP-брандмауер і блокуйте кінцеві точки, які не вимагаються, наприклад, політикою захисту від втрати даних.

Виявлення на основі сигнатур може детально перевірити систему. Це передбачає пошук ознак або кореляцій між діями, які можуть вказувати на потенційну атаку. Механізм виявлення може виявляти певні характеристики, які вказують на конкретний тип атаки. Не завжди можливо безпосередньо виявити командно-контрольний механізм атаки. Однак часто існують підказки або закономірності, пов’язані з певним процесом командування та управління. Наприклад, атака може бути позначена певною швидкістю потоку з точки зору запиту, або вона може часто звертатися до доменів, які мають певні закінчення.

Виявляйте аномальні шаблони доступу користувачів, щоб ви могли виявляти та досліджувати відхилення від очікуваних шаблонів. Це передбачає порівняння поточної поведінки користувача з минулою поведінкою, щоб виявити аномалії. Хоча виконати це завдання вручну може бути недоцільно, ви можете використовувати інструменти розвідки загроз для цього. Інвестуйте в інструменти аналітики поведінки користувачів і сутностей (UEBA), які збирають поведінку користувачів на основі даних моніторингу та аналізують їх. Ці інструменти часто можуть виконувати прогнозний аналіз, який зіставляє підозрілу поведінку з потенційними типами атак.

Виявляйте загрози на етапах перед розгортанням і після нього. На етапі перед розгортанням включіть сканування вразливостей у воронки продажів і вживіть необхідних заходів на основі результатів. Після розгортання продовжуйте проводити сканування вразливостей. Ви можете використовувати такі інструменти, як Microsoft Defender for Containers, який сканує зображення контейнерів. Включіть результати в зібрані дані. Щоб отримати інформацію про методи безпечної розробки, перегляньте статтю Рекомендації щодо методів безпечного розгортання.

Power Platform Сприяння

У наступних розділах описано механізми, які можна використовувати для моніторингу та виявлення загроз. Power Platform

Microsoft Sentinel

Рішення Microsoft Sentinel для Microsoft Power Platform дозволяє клієнтам виявляти різні підозрілі дії, в тому числі:

  • Power Apps Виконання з несанкціонованих географічних місць
  • Знищення підозрілих даних Power Apps
  • Масове видалення Power Apps
  • Фішингові атаки, здійснені через Power Apps
  • Power Automate Потоки активності за рахунок співробітників, що звільняються
  • Microsoft Power Platform конектори, додані до середовища
  • Оновлення або видалення Microsoft Power Platform політик захисту від втрати даних

Для отримання додаткових відомостей зверніться до рішення Microsoft Sentinel для Microsoft Power Platform огляду.

Журнал активності Microsoft Purview

Power Apps, Power Automate, З’єднувачі, захист від втрати даних і Power Platform ведення журналу адміністративної активності відстежуються та переглядаються на порталі відповідності Microsoft Purview.

Щоб отримати додаткові відомості, див.

Моніторинг у Dataverse

Аудит бази даних реєструє зміни, внесені до записів клієнтів у середовищі з базою Dataverse даних. Відстеження Dataverse також реєструє доступ користувачів безпосередньо до програми або за допомогою SDK у середовищі. Цей аудит увімкнено на рівні середовища, і для окремих таблиць і стовпців потрібна додаткова конфігурація. Щоб отримати додаткові відомості, перегляньте статтю Керування Dataverse аудитом.

Аналіз телеметрії за допомогою Application Insights

Application Insights – компонент монітора Azure, який широко використовується в ландшафті підприємств для моніторингу та діагностики. Вже зібрані дані в конкретному середовищі або клієнті передаються до вашого власного середовища Application Insights. Дані зберігаються в журналах Application Insights Azure Monitor і візуалізуються на панелях «Продуктивність» і «Збої» в розділі «Розслідування» на лівій панелі. Дані експортуються до середовища Application Insights за стандартною схемою, визначеною системою Application Insights. Дієві особи підтримки, розробників і адміністратора можуть користуватися цією функцією для сортування та вирішення проблем.

Ви також можете:

  • Налаштуйте Application Insights середовище для отримання телеметрії про діагностику та продуктивність, зафіксовану платформою Dataverse .
  • Підпишіться, щоб отримувати телеметрію про операції, які програми виконують у вашій Dataverse базі даних і в програмах на основі моделі. Ця телеметрія містить відомості, які ви можете використовувати для діагностики, пошуку та виправлення проблем, пов’язаних із помилками та продуктивністю.
  • Налаштуйте Power Automate хмарні потоки для інтеграції Application Insights.
  • Записуйте події та дії з Power Apps програм Canvas до Application Insights.

Для отримання додаткової інформації дивіться Огляд інтеграції з Application Insights.

Посвідчення особи

Відстежуйте ризики, пов’язані з ідентифікацією, на потенційно скомпрометованих ідентифікаційних особах і усувайте ці ризики. Перегляньте зареєстровані ризикові події таким чином:

  • Використовуйте Microsoft Entra звітування за ідентифікаторами. Щоб отримати додаткові відомості, перегляньте статтю Що таке захист особистих даних? та захисту особистості.

  • Використовуйте учасників API виявлення ризиків захисту особистих даних, щоб отримувати програмний доступ до виявлених об’єктів безпеки через Microsoft Graph. Для отримання додаткової інформації дивіться статті riskDetection та riskyUser.

Microsoft Entra ID використовує адаптивні алгоритми машинного навчання, евристику та відомі скомпрометовані облікові дані (пари імені користувача та пароля) для виявлення підозрілих дій, пов’язаних із вашими обліковими записами користувачів. Ці пари імені користувача та пароля виявляються під час моніторингу загальнодоступної та даркнет-мережі, а також завдяки співпраці з дослідниками безпеки, правоохоронними органами, командами безпеки Microsoft та іншими.

Azure pipelines

DevOps виступає за управління змінами в робочих навантаженнях за допомогою безперервної інтеграції та безперервної доставки (CI/CD). Обов’язково додайте перевірку безпеки в пайплайнах. Дотримуйтеся вказівок, описаних у розділі Захист Azure Pipelines.

Контрольний список безпеки

Зверніться до повного зведення рекомендацій.