你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 威胁防护

Azure 通过 Microsoft Entra ID、Azure Monitor 日志和 Microsoft Defender for Cloud 等服务提供内置威胁防护功能。 安全服务和功能的此集合提供了一种简单快速了解 Azure 部署运行状况的方法。

Azure 提供多种安全性配置和自定义选项,以满足应用部署的要求。 本文介绍如何满足这些要求。

Microsoft Entra ID 保护

Microsoft Entra ID 保护Microsoft Entra ID P2 版本中的一项功能,通过它可以全面了解可影响组织标识的风险事件和潜在漏洞。 标识保护使用现有的 Microsoft Entra 异常情况检测功能(可通过 Microsoft Entra 异常活动报告获得),并引入了可以实时检测异常情况的新风险检测类型。

Microsoft Entra ID 保护图

标识保护使用自适应机器学习算法和启发式规则来检测异常行为以及可能表示标识已遭入侵的风险检测。 标识保护使用此数据生成报告和警报,以便可以调查这些风险检测并采取相应的补救或缓解措施。

“标识保护”功能

Microsoft Entra ID 保护不只是一个监视和报告工具。 若要保护组织的标识,可以配置基于风险的策略,该策略可在达到指定风险级别时自动响应检测到的问题。 除了 Microsoft Entra ID 和 EMS 提供的其他条件访问控制外,这些策略还可以自动阻止或启动自适应修正操作,包括密码重置和多重身份验证强制实施。

Azure 标识保护可帮助保护帐户和标识的一些示例包括:

检测风险检测和风险帐户

  • 使用机器学习和启发式规则检测 6 种风险检测类型。
  • 计算用户风险级别。
  • 提供自定义建议,通过突显漏洞来改善整体安全状况。

调查风险检测

  • 针对风险检测发送通知。
  • 使用相关的上下文信息调查风险检测。
  • 提供基本工作流来跟踪调查。
  • 提供轻松使用补救措施,例如密码重置。

基于风险的条件性访问策略

  • 通过阻止登录或要求进行多重身份验证来减少有风险的登录。
  • 阻止或保护有风险的用户帐户。
  • 要求用户注册多重身份验证。

Microsoft Entra Privileged Identity Management

使用 Microsoft Entra Privileged Identity Management (PIM),可以管理、控制和监视组织内的访问。 此功能包括访问 Microsoft Entra ID 和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)中的资源。

Microsoft Entra Privileged Identity Management 示意图

PIM 可帮助用户进行以下操作:

  • 获取有关 Microsoft Entra 管理员以及对 Microsoft 联机服务(例如 Microsoft 365 和 Intune)的实时 (JIT) 管理访问的警报和报告。

  • 获取有关管理员访问历史记录以及管理员分配更改的报告。

  • 获取有关访问特权角色的警报。

Azure Monitor 日志

Azure Monitor 日志是 Microsoft 提供的基于云的 IT 管理解决方案,可帮助你管理和保护本地和云基础结构。 因为 Azure Monitor 日志是作为基于云的服务实现的,因此在基础结构服务上进行极低的投资即可快速使其启动并运行。 自动提供新增安全功能,从而节省持续维护和升级成本。

安全性与符合性总体情况

Microsoft Defender for Cloud 借助内置搜索查询找到需要关注的重要问题,从而提供有关组织的 IT 安全态势的全面观点。 它提供计算机安全状态的高级洞见。 还可以查看过去 24 小时、7 天或任何自定义时间范围的所有事件。

Azure Monitor 日志有助于用户快速轻松了解任何环境中的总体安全情况,在 IT 操作的上下文中即可实现,这些操作包括软件更新评估、反恶意软件评估和配置基线。 可访问现成的安全日志数据,简化安全性和符合性审核过程。

见解与分析

Azure Monitor 日志的中心是由 Azure 托管的存储库。

见解与分析关系图

通过配置数据源和向订阅添加解决方案,将连接的源中的数据收集到存储库。

数据源和解决方案分别创建具有自身属性集的单独记录类型,但是用户仍可在对存储库的查询中同时对它们进行分析。 可以使用相同的工具和方法来处理由不同的源收集的各种数据。

与 Azure Monitor 日志的大部分交互都通过 Azure 门户完成,该门户可在任意浏览器中运行,并提供对配置设置和多个工具的访问权限,以对收集的数据进行分析和操作。 在门户中,可以使用:

  • 日志搜索,可在其中构造查询以分析收集的数据。
  • 仪表板,可以使用最有价值搜索的图形视图对其进行自定义。
  • 解决方案,可提供其他功能和分析工具。

解决方案向 Azure Monitor 日志添加功能。 解决方案主要在云中运行,并提供对日志分析存储库所收集数据的分析。 解决方案也可以定义要收集的新记录类型,可使用日志搜索或通过解决方案在日志分析仪表板中提供的其他用户界面对这些记录类型进行分析。

Defender for Cloud 是这些类型解决方案的一个示例。

自动化与控制:安全配置偏移警报

Azure 自动化通过基于 PowerShell 并在云中运行的 Runbook 自动执行管理流程。 也可在本地数据中心内的服务器上运行 Runbook 以管理本地资源。 Azure 自动化通过 PowerShell Desired State Configuration (DSC) 提供配置管理。

Azure 自动化示意图

可以创建和管理在 Azure 中托管的 DSC 资源,并将其应用到云和本地系统。 完成此操作后,可以定义和自动强制执行其配置,或获取有关偏移的报告,以确保安全配置保留在策略中。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 可帮助保护混合云环境。 通过对连接的资源执行持续的安全评估,可以针对发现的漏洞提供详细的安全建议。

Defender for Cloud 建议基于 Microsoft 云安全基准 - 该基准是 Microsoft 针对基于常见合规性框架的安全与合规最佳做法创作的一组特定于 Azure 的准则。 此基准受到广泛认可,以 Internet 安全中心 (CIS)国家标准与技术研究院 (NIST) 的控制措施为基础构建,重点关注以云为中心的安全。

启用 Defender for Cloud 的增强安全功能可为 Azure、混合和多云资源和工作负载提供高级、智能的保护。 有关详细信息,请参阅 Microsoft Defender for Cloud 的增强的安全性功能

Defender for Cloud 中的工作负载保护仪表板提供对一系列 Microsoft Defender 计划提供的集成云工作负载保护功能的可见性和控制:

Defender for Cloud 的工作负荷保护仪表板示例。

提示

有关带编号部分的详细信息,请参阅工作负载保护仪表板

Microsoft 安全研究人员始终在不断地寻找威胁。 得益于 Microsoft 在云中和本地的广泛存在,他们可以访问大量的遥测数据。 由于能够广泛访问和收集各种数据集,Microsoft 可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。

因此,攻击者发布新的越来越复杂的攻击时,Defender for Cloud 就可以快速更新其检测算法。 此方法可帮助你始终与变化莫测的威胁环境保持同步。

Microsoft Defender for Cloud 的安全警报列表

Microsoft Defender for Cloud 自动从资源、网络以及连接的合作伙伴解决方案收集安全信息。 分析该信息(需将多个来源的信息关联起来)即可确定威胁。

Defender for Cloud 会设置安全警报的优先级,并提供威胁处置建议。

Defender for Cloud 使用各种高级安全分析,远不止几种基于攻击特征的方法。 使用大数据的突破性技术和机器学习技术对整个云中的事件进行评估。 高级分析可以检测到那些通过手动方式不可能发现的威胁,并预测攻击的演变方式。 接下来的部分会介绍这些安全分析类型。

威胁情报

Microsoft 可访问大量的全球威胁情报。

遥测数据的来源包括:Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC)。

威胁智能结果

研究人员也会收到在主要的云服务提供商之间共享的威胁情报信息,并订阅来自第三方的威胁情报源。 Microsoft Defender for Cloud 可能会在分析该信息后发出警报,提醒用户注意来自行为不端攻击者的威胁。 示例包括:

  • 利用机器学习的力量:Microsoft Defender for Cloud 有权访问大量有关云网络活动的数据,这些数据可用于检测针对 Azure 部署的威胁。

  • 暴力攻击检测:机器学习可用于创建远程访问尝试的历史模式,从而检测针对安全外壳 (SSH)、远程桌面协议 (RDP) 和 SQL 端口的暴力攻击。

  • 出站 DDoS 和僵尸网络检测:针对云资源的攻击的常见目标是使用这些资源的计算能力来执行其他攻击。

  • 新行为分析服务器和 VM:服务器或虚拟机受到攻击后,攻击者将使用各种各样的技术在该系统上执行恶意代码,同时避免检测、确保持久性和避免安全控件。

  • Azure SQL 数据库威胁检测:Azure SQL 数据库威胁检测可以识别异常数据库活动,指示企图访问或利用数据库的异常的潜在有害尝试。

行为分析

行为分析是一种技术,该技术会对数据进行分析并将数据与一系列已知模式对比。 然而,这些模式并不是简单的签名。 它们是通过应用于海量数据集的复杂机器学习算法确定的。

行为分析结果

模式也由分析专家通过仔细分析恶意行为来确定。 Microsoft Defender for Cloud 可以使用行为分析对虚拟机日志、虚拟网络设备日志、结构日志、故障转储和其他资源进行分析,确定遭到泄露的资源。

此外,模式与其他信号关联,以查看是否存在某个广泛传播活动的支持证据。 此关联性也可用于确定那些符合已确定的攻击特征的事件。

示例包括:

  • 可疑的进程执行:为了执行恶意软件而不被检测到,攻击者会运用多种技巧。 例如,攻击者可能会为恶意软件取一个与合法的系统文件相同的名称,但却将这些文件置于其他位置,可能会使用与正常文件名类似的名称,或者会掩盖文件的实际扩展名。 Defender for Cloud 会对进程行为建模,监视进程的执行情况,检测此类异常行为。

  • 隐藏恶意软件和漏洞利用尝试:复杂的恶意软件从不向磁盘写入内容,或者会加密存储在磁盘上的软件组件,借此逃避传统的反恶意软件产品的检测。 但是,此类恶意软件可以通过使用内存分析检测到,因为恶意软件一运行就必然会在内存中留下踪迹。 当软件故障时,故障转储可捕获故障时的部分内存。 通过分析故障转储中的内存,Microsoft Defender for Cloud 可以检测到用于利用软件漏洞、访问机密数据以及偷偷存留在受攻击计算机中而不影响计算机性能的技术。

  • 横向移动和内部侦测:为了留存在受攻击的网络中以及查找和获取有价值的数据,攻击者通常会尝试从受攻击的计算机横向移动到同一网络中的其他计算机。 Defender for Cloud 会监视进程和登录活动,从而发现是否有人尝试在网络中扩大攻击者据点,例如是否存在远程命令执行、网络探测及帐户枚举。

  • 恶意 PowerShell 脚本:攻击者出于各种目的,使用 PowerShell 在目标虚拟机上执行恶意代码。 Defender for Cloud 会检查 PowerShell 活动中是否存在可疑活动的证据。

  • 传出攻击:攻击者通常会以云资源为目标,目的是使用这些资源发起更多攻击。 例如,可以通过受攻击的虚拟机对其他虚拟机发起暴力攻击,可以发送垃圾邮件,也可以扫描 Internet 上的开放端口和其他设备。 将机器学习应用到网络流量以后,Defender for Cloud 即可检测到出站网络通信何时超出标准。 检测到垃圾邮件时,Defender for Cloud 也可将非正常的电子邮件流量与 Microsoft 365 提供的情报信息关联起来,确定该邮件到底是恶意邮件,还是合法的电子邮件促销活动。

异常检测

Microsoft Defender for Cloud 还使用异常情况检测来识别威胁。 与行为分析(依赖于已知的从大型数据集派生的模式)相比,异常检测更“个性化”,注重特定于用户部署的基线。 运用机器学习确定部署的正常活动,并生成规则,以定义可能表示安全事件的异常条件。 下面是一个示例:

  • 入站 RDP/SSH 暴力破解攻击:部署中的有些虚拟机可能很忙,每天需要处理大量的登录,而其他虚拟机可能只有寥寥数个登录。 Microsoft Defender for Cloud 可以确定这些虚拟机的基线登录活动,并通过机器学习定义正常登录活动。 如果与为登录相关特征定义的基线存在任何差异,则可能会生成警报。 同样,是否具有显著性由机器学习决定。

连续威胁情报监视

Microsoft Defender for Cloud 与全世界的安全性研究和数据科学团队合作,持续监视威胁态势的变化情况。 其中包括以下计划:

  • 威胁情报监视:威胁情报包括现有的或新出现的威胁的机制、指示器、含义和可操作建议。 此信息在安全社区共享,Microsoft 会持续监视内部和外部源提供的威胁情报源。

  • 信号共享:安全团队的见解会跨 Microsoft 的一系列云服务和本地服务、服务器、客户端终结点设备进行共享和分析。

  • Microsoft 安全专家:持续接触 Microsoft 的各个工作在专业安全领域(例如取证和 Web 攻击检测)的团队。

  • 检测优化:针对实际的客户数据集运行相关算法,安全研究人员与客户一起验证结果。 通过检出率和误报率优化机器学习算法。

将这些措施结合起来,形成新的改进型检测方法,让用户能够即时受益。 用户不需采取任何措施。

Microsoft Defender for Storage

用于存储的 Microsoft Defender 是 Azure 原生安全智能层,用于检测试图访问或利用你的存储帐户的异常或可能有害的企图。 它使用高级威胁检测功能和 Microsoft 威胁智能数据来提供上下文安全警报。 这些警报还包括用于缓解检测到的威胁并防止未来攻击的步骤。

威胁防护功能:其他 Azure 服务

虚拟机:Microsoft 反恶意软件

适用于 Azure 的 Microsoft 反恶意软件是一个针对应用程序和租户环境所提供的单一代理解决方案,可在后台运行而无需人工干预。 可以根据应用程序工作负荷的需求,选择默认的基本安全性或高级的自定义配置(包括反恶意软件监视)来部署保护。 Azure 反恶意软件是为 Azure 虚拟机提供的安全选项,自动安装在所有 Azure PaaS 虚拟机上。

Microsoft 反恶意软件核心功能

以下是用于部署和启用应用程序的 Microsoft 反恶意软件的 Azure 功能:

  • 实时保护:监视云服务中和虚拟机上的活动,检测并阻止恶意软件的执行。

  • 计划的扫描:定期执行有针对性的扫描,检测恶意软件(包括主动运行的程序)。

  • 恶意软件消除:自动针对检测到的恶意软件采取措施,例如删除或隔离恶意文件以及清除恶意注册表项。

  • 签名更新:自动安装最新的保护签名(病毒定义),确保按预定的频率保持最新保护状态。

  • 反恶意软件引擎更新:自动更新 Microsoft 反恶意软件引擎。

  • 反恶意软件平台更新:自动更新 Microsoft 反恶意软件平台。

  • 主动保护:将检测到的威胁和可疑资源的遥测元数据报告给 Microsoft Azure,以确保针对不断演变的威胁局势做出快速响应,并通过 Microsoft 主动保护系统启用实时同步签名传递。

  • 示例报告:将示例提供并报告给 Microsoft 反恶意软件服务,帮助改善服务并实现故障排除。

  • 排除项:允许应用程序和服务管理员配置特定的文件、进程以及驱动器,以便出于性能和其他原因将其从保护和扫描中排除。

  • 反恶意软件事件收集:在操作系统事件日志中记录反恶意软件服务的运行状况、可疑活动及采取的补救措施,并将这些数据收集到客户的 Azure 存储帐户。

Azure SQL 数据库威胁检测

Azure SQL 数据库威胁检测是内置于 Azure SQL 数据库服务的新安全智能功能。 全天候了解、分析及检测异常数据库活动,Azure SQL 数据库威胁检测可识别针对数据库的潜在威胁。

发生可疑数据库活动时,安全监管员或其他指定的管理员可以获取相关即时通知。 每个通知提供可疑活动的详细信息,以及如何进一步调查和缓解威胁的建议。

目前,Azure SQL 数据库威胁检测可检测潜在的漏洞和 SQL 注入攻击,以及异常的数据库访问模式。

在收到威胁检测的电子邮件通知后,用户可以通过邮件中的深层链接来导航和查看相关审核记录。 此链接可打开审核查看器或预配置的审核 Excel 模板,该模板显示发生可疑事件时的相关审核记录,具体如下所示:

  • 具有异常数据库活动的数据库/服务器的审核存储。

  • 用于在事件发生时编写审核日志的相关审核存储表。

  • 事件发生后的审核时间记录。

  • 事件发生时具有类似事件 ID 的审核记录(对于某些检测程序可选)。

SQL 数据库威胁检测程序使用以下检测方法之一:

  • 确定性检测:检测 SQL 客户端查询中与已知攻击匹配的可疑模式(基于规则)。 此方法具有高检测率和低误报率,但是覆盖率有限,因为它属于“原子检测”类别。

  • 行为检测:检测异常活动,即数据库中最近 30 天内未发现的异常行为。 SQL 客户端异常活动的示例有失败登录或查询次数激增、提取大量数据、异常的 canonical 查询或访问数据库所用的 IP 地址不常见。

应用程序网关 Web 应用程序防火墙

Web 应用程序防火墙 (WAF)应用程序网关的一项功能,它为使用应用程序网关实现标准应用程序传递控制功能的 Web 应用程序提供保护。 为此,Web 应用程序防火墙保护这些应用程序,免受开放 Web 应用程序安全计划 (OWASP) 前 10 个常见的 Web 漏洞中大多数漏洞的威胁。

应用程序网关 Web 应用程序防火墙示意图

保护包括:

  • SQL 注入保护。

  • 跨站点脚本保护。

  • 常见 Web 攻击保护,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含攻击。

  • 防止 HTTP 协议违反行为的保护。

  • 防止 HTTP 协议异常行为(例如缺少主机用户代理和接受标头)的保护。

  • 防止自动程序、爬网程序和扫描程序。

  • 检测常见应用程序错误配置(即 Apache、IIS 等)。

在应用程序网关配置 WAF 可提供以下优点:

  • 无需修改后端代码即可保护 Web 应用程序免受 Web 漏洞和攻击的威胁。

  • 在应用程序网关背后同时保护多个 Web 应用程序。 应用程序网关支持最多托管 20 个网站。

  • 使用应用程序网关 WAF 日志生成的实时报告,针对攻击监视 Web 应用程序。

  • 有助于满足符合性要求。 某些符合性控件要求 WAF 解决方案保护所有面向 Internet 的终结点。

Defender for Cloud Apps

Defender for Cloud Apps 是 Microsoft Cloud Security 堆栈的一个重要组成部分。 这是一种综合解决方案,可帮助向云迁移的组织充分利用云应用程序。 通过提升的活动可见性保持掌控能力。 它还有助于增强跨云应用程序的对关键数据的保护能力。

借助有助于发现影子 IT、评估风险、强制实施策略、调查活动和阻止威胁的工具,组织可以更安全地移到云端,同时保持对关键数据的控制。

类别 说明
发现 利用 Defender for Cloud Apps 揭示影子 IT。 通过在云环境中发现应用、活动、用户、数据和文件,获得可见性。 发现连接到云的第三方应用。
调查 通过使用云取证工具深入了解网络中的风险应用、特定用户和文件,从而调查云应用。 从云中收集的数据中查找模式。 生成报告以监视云。
控制 通过设置策略和警报实现对网络云流量的最大控制,从而降低风险。 使用 Defender for Cloud Apps 将用户迁移到安全的经过批准的替代云应用。
保护 使用 Defender for Cloud Apps 批准或阻止应用程序,强制执行数据丢失防护、控制权限和共享,以及生成自定义报告和警报。
控制 通过设置策略和警报实现对网络云流量的最大控制,从而降低风险。 使用 Defender for Cloud Apps 将用户迁移到安全的经过批准的替代云应用。

Defender for Cloud Apps 关系图

Defender for Cloud Apps 通过以下方式将可见性与云集成:

  • 使用 Cloud Discovery 映射并确定组织使用的云环境和云应用。

  • 批准和禁止云中的应用。

  • 为实现连接到的应用的可见性和管理,使用利用提供程序 API 的、易于部署的应用连接器。

  • 通过设置策略并不断对其进行微调,实现持续控制。

从这些源收集数据时,Defender for Cloud Apps 会对其运行复杂的分析。 它会立即向你发出有关异常活动的警报,帮助你获得对云环境的深度了解。 可以在 Defender for Cloud Apps 中配置策略,并使用它来保护云环境中的所有内容。

通过 Azure 市场获取的第三方威胁防护功能

Web 应用程序防火墙

Web 应用程序防火墙会检查入站 Web 流量,并阻止 SQL 注入、跨站点脚本、恶意软件上传和应用程序 DDoS 攻击及其他针对 Web 应用程序的攻击。 它还会检查后端 Web 服务器的响应,实现针对数据丢失预防 (DLP)。 集成的访问控制引擎使管理员能够为身份验证、授权和核算 (AAA) 创建精细的访问控制策略,这将增强组织的身份验证和用户控制。

Web 应用程序防火墙提供以下优点:

  • 检测并阻止 SQL 注入、跨站点脚本、恶意软件上传、应用程序 DDoS 或任何其他针对应用程序的攻击。

  • 身份验证和访问控制。

  • 扫描出站流量以检测敏感数据,并可屏蔽或阻止信息泄露。

  • 使用缓存、压缩和其他流量优化功能,加快 Web 应用程序内容的传送。

有关 Azure 市场中提供的 Web 应用程序防火墙的示例,请参阅 Barracuda WAF、Brocade 虚拟 Web 应用程序防火墙 (vWAF)、Imperva SecureSphere 和 ThreatSTOP IP 防火墙

后续步骤

  • 应对当前的威胁:有助于确定以 Azure 资源为目标的活跃威胁,并提供快速响应所需的见解。