Azure 威脅防護
Azure 會透過 Microsoft Entra ID、Azure 監視器記錄和適用於雲端的 Microsoft Defender 這類的服務,來提供內建的威脅偵測功能。 這個安全性服務和功能集合提供簡單且快速的方式,來了解您 Azure 部署內的一舉一動。
Azure 提供各種選項來設定和自訂安全性,以符合您應用程式部署的需求。 本文討論如何滿足這些需求。
Microsoft Entra ID Protection
Microsoft Entra ID Protection 是 Microsoft Entra ID P2 版本的功能,其會針對可影響組織身分識別的風險偵測和潛在弱點提供概觀。 Identity Protection 使用現有的 Microsoft Entra 異常偵測功能 (可透過 Microsoft Entra 異常活動報告取得),並引進可即時偵測異常的新風險偵測類型。
Identity Protection 會使用調適性機器學習演算法和啟發學習法,來偵測異常事件和風險偵測,而這些事件都可能表示身分識別已遭盜用。 Identity Protection 會使用此資料來產生報告和警示,讓您可以調查這些風險偵測並採取適當的補救或緩和動作。
Identity Protection 功能
Microsoft Entra ID Protection 不只是監視和報告工具而已。 若要保護您組織的身分識別,您可以設定以風險為基礎的原則,當達到指定風險層級時自動回應偵測到的問題。 除了 Microsoft Entra ID 與 EMS 所提供的其他條件式存取控制以外,這些原則可以自動封鎖或起始調適性補救動作,包括重設密碼以及強制執行多重要素驗證。
Azure Identity Protection 可用以協助保護您的帳戶和身分識別的一些方法範例包括:
- 使用機器學習和啟發學習法規則偵測六種風險偵測類型。
- 計算使用者風險層級。
- 提供自訂建議,藉由將弱點醒目提示來改善整體安全性狀態。
- 傳送風險偵測的通知。
- 使用相關和內容資訊來調查風險偵測。
- 提供基本工作流程來追蹤調查。
- 讓您輕鬆存取補救動作 (例如重設密碼)。
- 封鎖登入或要求 Multi-Factor Authentication 挑戰,以阻止高風險登入。
- 封鎖或保護有風險的使用者帳戶。
- 要求使用者註冊 Multi-Factor Authentication。
Microsoft Entra Privileged Identity Management
您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來管理、控制和監視組織內的存取。 此功能包括存取 Microsoft Entra ID 中的資源和其他 Microsoft 線上服務 (例如 Microsoft 365 或 Microsoft Intune)。
PIM 可協助您:
針對 Microsoft Entra 管理員以及 Microsoft 365 和 Intune 這類 Microsoft 線上服務的 Just-In-Time (JIT) 系統,取得管理存取權的警示和報告。
取得有關系統管理員存取記錄與系統管理員指派變更的報告。
取得有關特殊權限角色存取的警示。
Azure 監視器記錄
Azure 監視器記錄是 Microsoft 雲端式 IT 管理解決方案,可協助您管理並保護內部部署與雲端基礎結構。 因為 Azure 監視器記錄實作為雲端式服務,所以您對基礎結構服務進行最小的投資就可以快速啟動並加以執行。 會自動提供新的安全性功能,以節省持續維護和升級成本。
整體安全性與合規性狀態
適用於雲端的 Microsoft Defender 會針對值得您注意的問題,使用內建的搜尋查詢,為貴組織的 IT 安全性狀況提供全面性檢視。 它可讓您深入了解您的電腦的安全性狀態。 您也可以檢視過去 24 小時、7 天或任何其他自訂時間範圍內的所有事件。
Azure 監視器記錄可協助您快速且輕鬆地了解任何環境的整體安全性狀態,全部都在 IT 作業的內容中,包括軟體更新評定、反惡意程式碼評定和設定基準。 可立即存取安全性記錄資料,以簡化安全性與合規性稽核程序。
見解與分析
Azure 監視器記錄的中心是 Azure 所裝載的存放庫。
您可以藉由設定資料來源並將解決方案新增至訂用帳戶,將資料從連線的來源收集到存放庫。
資料來源和解決方案各會建立具有其專屬屬性集的不同記錄類型,但仍能一起分析來查詢存放庫。 您可以使用相同的工具和方法,來處理各種來源所收集的各種資料。
與 Azure 監視器記錄的大部分互動都會透過 Azure 入口網站完成,其可以在任何瀏覽器中執行,並讓您存取組態設定與多種工具來分析及處理所收集的資料。 從入口網站中,您可以使用:
方案會將功能加入 Azure 監視器記錄。 其主要在雲端執行,並提供記錄分析存放庫中所收集資料的分析。 解決方案也可能會定義要收集的新記錄類型,以使用記錄搜尋來進行分析,或藉由使用解決方案在記錄分析儀表板中所提供的其他使用者介面來進行分析。
適用於雲端的 Defender 就是這類解決方案的範例。
自動化與控制︰有關安全性設定漂移的警示
Azure 自動化會使用以 PowerShell 為基礎並在雲端中執行的 Runbook,來將管理程序自動化。 Runbook 也可以在本機資料中心的伺服器上執行,以管理本機資源。 Azure 自動化會使用 PowerShell Desired State Configuration (DSC) 來提供設定管理。
您可以建立和管理裝載於 Azure 的 DSC 資源,以及將它們套用到雲端和內部部署系統。 藉由這麼做,您可以定義和自動強制執行其設定或取得有關漂移的報告,以協助確保安全性設定保留在原則內。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可保護您的混合式雲端環境。 藉由對已連線的資源執行持續安全性評估,就能夠針對探索到的弱點提供詳細的安全性建議。
適用於雲端的 Defender 所提供的建議,是根據 Microsoft 雲端安全性基準 (Microsoft 針對以一般合規性架構為基礎的安全性與合規性最佳做法所撰寫的一組 Azure 特定指導方針)。 這個廣受尊重的效能評定是以網際網路安全性中心 (CIS) 和美國國家標準與技術研究院 (NIST) 的控制項為基礎,著重於以雲端為中心的安全性。
若啟用適用於雲端的 Defender 增強的安全性功能,可為您的 Azure、混合式和多雲端資源和工作負載,提供進階的智慧型保護。 深入了解:適用於雲端的 Microsoft Defender 增強的安全性功能。
在適用於雲端的 Defender 中,工作負載保護儀表板讓一系列的 Microsoft Defender 方案所提供的整合式雲端工作負載保護功能,能夠以視覺放方式呈現並加以控制:
提示
深入了解工作負載保護儀表板中編號的部分。
Microsoft 安全性研究人員會持續監視威脅。 他們可以存取從 Microsoft 在雲端和內部部署中的全域支援取得的一組廣泛遙測。 這組包羅萬象的資料集,可讓 Microsoft 探索其內部部署消費性和企業產品及其線上服務的新攻擊模式和趨勢。
因此,適用於雲端的 Defender 可以在攻擊者發行日新月異的複雜攻擊時,快速地更新其偵測演算法。 此方法可協助您跟上瞬息萬變的威脅環境。
適用於雲端的 Microsoft Defender 會自動從您的資源、網路和連線的合作夥伴解決方案收集安全性資訊。 它會分析這項資訊 (來自多個來源的相互關聯資訊) 以識別威脅。
適用於雲端的 Defender 的安全性警示會排定優先順序,並提供如何補救威脅的建議。
適用於雲端的 Defender 會運用進階安全性分析,其遠勝於以簽章為基礎的方法。 巨量資料和機器學習技術中的突破,可用來評估整個雲端的所有事件。 進階分析可以偵測無法透過手動方法識別並預測攻擊進化的威脅。 下列各節涵蓋這些安全性分析類型。
威脅情報
Microsoft 可以存取大量的全域威脅情報。
遙測資料來自多個來源,例如 Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU) 和 Microsoft 安全回應中心 (MSRC)。
研究人員也會收到主要雲端服務提供者之間共用的威脅情報資訊,並訂閱來自協力廠商的威脅情報摘要。 適用於雲端的 Microsoft Defender 可以使用這項資訊,來警示您來自已知不良執行者的威脅。 這些範例包含:
運用機器學習的力量:適用於雲端的 Microsoft Defender 可以存取雲端網路活動的大量資料,可用來偵測鎖定您 Azure 部署的潛在威脅。
暴力密碼破解偵測:使用機器學習來建立嘗試遠端存取的歷程記錄模式,使其得以偵測到對於安全殼層 (SSH)、遠端桌面通訊協定 (RDP) 和 SQL 連接埠的暴力密碼破解攻擊。
輸出 DDoS 和 Botnet 偵測:當雲端資源淪為攻擊的目標時,攻擊者常常是為了使用那些資源的計算能力來執行更多攻擊。
新的行為分析伺服器和 VM:在伺服器或虛擬機器遭到入侵之後,攻擊者就能用各種不同的技術,在該系統上執行惡意程式碼,同時避開偵測、確保持續性,並迴避安全性控制。
Azure SQL Database 威脅偵測:適用於 Azure SQL Database 的威脅偵測,它會識別異常的資料庫活動,指出發生不尋常且可能有害的嘗試存取或惡意探索資料庫。
行為分析
行為分析是一種可分析及比較資料與一組已知模式的技術。 不過,這些模式並非簡單的簽章。 其可以透過套用至大型資料集的複雜機器學習演算法來判定,
這些模式也能透過專業分析師仔細分析惡意行為來判定。 適用於雲端的 Microsoft Defender 可以使用行為分析,根據虛擬機器記錄、虛擬網路裝置記錄、網狀架構記錄、毀損傾印和其他來源的分析,找出遭到入侵的資源。
此外,模式會與其他訊號相互關聯,以檢查廣泛行銷活動的支援證明。 此相互關聯有助於識別與已確立危害指標一致的事件。
這些範例包含:
可疑處理程序執行︰攻擊者不需要偵測,即可運用數種技術來執行惡意軟體。 例如,攻擊者可能會讓惡意程式碼具有與合法系統檔案相同的名稱,但會將這些檔案放在替代位置、使用類似良性檔案名稱的名稱,或為檔案的真正副檔名加上遮罩。 適用於雲端的 Defender 會建立處理序行為的模型,並監視處理序執行以偵測這類極端值。
隱藏的惡意程式碼和弱點攻擊嘗試︰複雜的惡意程式碼可藉由永遠不要寫入至磁碟或加密磁碟上儲存的軟體元件,來避開傳統的反惡意程式碼產品。 不過,可以使用記憶體分析來偵測這類惡意程式碼,因為惡意程式碼必須在記憶體中留下蹤跡才能運作。 當軟體損毀時,損毀傾印會在損毀時擷取部分的記憶體。 藉由分析損毀傾印中的記憶體,適用於雲端的 Microsoft Defender 可以偵測到用來惡意探索軟體中的弱點、存取機密資料,以及暗中保存在遭入侵電腦內的駭客技術,而不會影響您電腦的效能。
橫向移動和內部偵察︰為了保存於遭入侵的網路內並找出和獲取重要資料,攻擊者經常會試圖從遭入侵的電腦橫向移到相同網路內的其他電腦。 適用於雲端的 Defender 會監視處理序和登入活動,查探是否有攻擊者嘗試在網路內展開據點 (例如遠端命令執行、網路探查和帳戶列舉等活動)。
惡意 PowerShell 指令碼︰攻擊者會針對各種目的,使用 PowerShell 在目標虛擬機器上執行惡意程式碼。 適用於雲端的 Defender 會檢查 PowerShell 活動,找出可疑活動的證明。
傳出攻擊︰攻擊者通常會以雲端資源為目標,目的在於使用這些資源來掛載其他攻擊。 例如,遭入侵的虛擬機器可用來對其他虛擬機器發動暴力密碼破解攻擊、傳送垃圾郵件,或掃描開啟的連接埠和網際網路上的其他裝置。 適用於雲端的 Microsoft Defender 可對網路流量進行機器學習,以便偵測對外網路通訊何時超出正常值。 適用於雲端的 Defender 偵測到垃圾郵件時,也會對照 Microsoft 365 所提供的情報與不尋常的電子郵件流量,以判斷郵件到底是惡意的還是合法電子郵件行銷活動的結果。
異常偵測
適用於雲端的 Microsoft Defender 也會使用異常偵測來識別威脅。 相較於行為分析 (這取決於衍生自大型資料集的已知模式),異常偵測更加「個人化」,且著重於您的部署專用的基準。 機器學習適用於判斷您部署的正常活動,然後產生規則來定義可能代表安全性事件的極端狀況。 以下是範例:
- 輸入 RDP/SSH 暴力密碼破解攻擊︰您的部署中可能包含每天都有許多登入的繁忙虛擬機器,以及有少量 (如果有的話) 登入的其他虛擬機器。 適用於雲端的 Microsoft Defender 可以判斷這些虛擬機器的基準登入活動,並使用機器學習來定義正常登入活動的範圍。 如果與針對登入相關特性所定義的基準有任何差異,則可能會產生警示。 同樣地,機器學習服務會判斷何者值得關注。
連續威脅情報監視
適用於雲端的 Microsoft Defender 在世界各地都設有資訊安全研究和資料科學小組,負責持續監視威脅環境中的變化。 這包括下列計畫:
威脅情報監視:威脅情報包含有關現有或新興威脅的機制、指標、影響和可採取動作的建議。 安全性社群會共用此資訊,而 Microsoft 會持續監視來自內部和外部來源的威脅情報摘要。
訊號共用︰共用和分析 Microsoft 的資訊安全小組對於各種雲端和內部部署服務、伺服器及用戶端端點裝置組合所提供的見解。
Microsoft 資訊安全專家︰持續與擅長特殊資訊安全領域 (例如鑑識與 Web 攻擊偵測) 的 Microsoft 小組攜手合作。
偵測微調:對真正的客戶資料集執行演算法,而安全性研究人員會與客戶一起驗證結果。 確判為真和誤判為真可用來縮小機器學習演算法的範圍。
結合上述努力終於獲得全新及改善的偵測功能,您因而立即受惠。 您不需採取任何動作。
適用於儲存體的 Microsoft Defender
適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,可偵測欲存取或惡意探索儲存體帳戶的異常且可能有害的嘗試。 其會使用進階威脅偵測功能和 Microsoft 威脅情報資料來提供內容相關的安全性警示。 這些警示也包含步驟來減輕偵測到的威脅,並防止未來的攻擊。
威脅防護功能:其他 Azure 服務
虛擬機器︰Microsoft Antimalware
適用於 Azure 的 Microsoft Antimalware 是針對應用程式和租用戶環境所提供的單一代理程式解決方案,其設計可於無人為介入的情況下在背景中執行。 您可以根據您的應用程式工作負載需求,使用基礎的預設保護或進階的自訂設定 (包括反惡意程式碼軟體監視) 來部署保護。 Azure Antimalware 是自動安裝在所有 Azure PaaS 虛擬機器之 Azure 虛擬機器的安全性選項。
Microsoft Antimalware 核心功能
以下是部署和啟用您應用程式之 Microsoft Antimalware 的 Azure 功能:
即時保護:監視雲端服務和虛擬機器上的活動,以偵測和封鎖惡意程式碼執行。
排程掃描:定期執行目標掃描以偵測惡意程式碼,包括主動執行程式。
惡意程式碼補救:自動處理偵測到的惡意程式碼,例如刪除或隔離惡意檔案及清除惡意的登錄項目。
簽章更新:自動安裝最新的保護簽章 (病毒定義) 以確保依預定頻率維持最新的保護狀態。
Antimalware 引擎更新:自動更新 Microsoft Antimalware 引擎。
Antimalware 平台更新:自動更新 Microsoft Antimalware 平台。
主動保護:向 Microsoft Azure 報告有關偵測到的威脅和可疑資源的遙測中繼資料,以確保能針對不斷演變的威脅型態做出快速的回應,並透過 Microsoft Active Protection System 啟用即時同步簽章傳遞。
範例報告:將範例提供並報告至 Microsoftt Antimalware 服務,以協助改善服務並啟用疑難排解。
排除項目:可讓應用程式和服務管理員設定特定的檔案、處理序及磁碟機,以因應效能和其他原因將其從保護和掃描中排除。
反惡意程式碼軟體事件收集:記錄作業系統事件記錄檔中反惡意程式碼軟體服務健康狀態、可疑的活動以及其所採取的補救動作,並將它們收集至客戶的 Azure 儲存體帳戶。
Azure SQL Database 威脅偵測
Azure SQL Database 威脅偵測是內建於 Azure SQL Database 服務的新安全性智慧型功能。 Azure SQL Database 威脅偵測可藉由全天候學習、分析及偵測異常資料庫活動,來識別資料庫的潛在威脅。
資訊安全人員或其他指定的系統管理員可以在發生可疑的資料庫活動時立即取得通知。 每個通知都會提供可疑活動的詳細資料,以及建議如何進一步調查並減輕威脅。
目前,Azure SQL Database 威脅偵測會偵測潛在的弱點與 SQL 插入式攻擊,以及異常的資料庫存取模式。
在收到威脅偵測電子郵件通知時,使用者可以透過電子郵件中的深層連結來巡覽和檢視相關稽核記錄。 連結會開啟稽核檢視器或預先設定的稽核 Excel 範本,以根據下表顯示可疑事件發生時間前後的相關稽核記錄:
適用於具有資料庫異常活動之資料庫/伺服器的稽核儲存體。
將事件寫入稽核記錄時所使用的相關稽核儲存體資料表。
緊接在發生事件後該小時的稽核記錄。
事件發生時具有類似事件識別碼的稽核記錄 (對於某些偵測器而言是選擇性的)。
SQL Database 威脅偵測器會使用下列其中一種偵測方法:
具決定性的偵測:偵測 SQL 用戶端查詢中符合已知攻擊的可疑模式 (規則)。 這種方法具有高偵測度和低誤判率,但其涵蓋範圍有限,因為它屬於「不可部分完成的偵測」類別。
行為偵測:偵測異常活動,此為資料庫中未曾在最近 30 天期間看到的異常行為。 SQL 用戶端異常活動的範例可以是失敗的登入或查詢數目突然增加、擷取大量的資料、不尋常的標準查詢,或用來存取資料庫的陌生 IP 位址。
應用程式閘道 Web 應用程式防火牆
Web 應用程式防火牆 (WAF) 是應用程式閘道的功能,可保護使用應用程式閘道執行標準應用程式傳遞控制功能的 Web 應用程式。 Web 應用程式防火牆的做法是保護應用程式,以防範 Open Web Application Security Project (OWASP) top 10 common web vulnerabilities (Open Web Application Security Project (OWASP) 前 10 個最常見的 Web 弱點)。
保護包括:
SQL 插入式攻擊保護。
跨網站指令碼保護。
常見 Web 攻擊保護,例如命令插入、HTTP 要求走私、HTTP 回應分割和遠端檔案包含攻擊。
防範 HTTP 通訊協定違規。
防範 HTTP 通訊協定異常,例如遺失主機使用者代理程式並接受標頭。
防範 Bot、編目程式和掃描器。
偵測一般應用程式錯誤設定 (即 Apache、IIS 等)。
在應用程式閘道上設定 WAF 可提供下列優點:
不需修改後端程式碼就能保護 Web 應用程式不受 Web 弱點和攻擊的威脅。
在應用程式閘道背後同時保護多個 Web 應用程式。 應用程式閘道支援裝載最多 20 個網站。
使用應用程式閘道 WAF 記錄所產生的即時報告,監視 Web 應用程式對抗攻擊。
協助符合合規性需求。 某些合規性控制項需要由 WAF 解決方案保護所有網際網路對向端點。
適用於雲端應用程式的 Defender
Defender for Cloud Apps 是 Microsoft Cloud 安全性堆疊的一個重要元件。 它是全方位的解決方案,可協助您的組織在您移動時能夠充分運用雲端應用程式的承諾。 它透過提高對活動的可見度來保持控制。 它也能針對跨雲端應用程式的重要資料,協助提供強化的保護。
貴組織可以使用有助找出影子 IT、評估風險、強制執行原則、調查活動並停止威脅的相關工具,更安全地轉移到雲端,同時保有重要資料的控管能力。
| 類別 | 描述 |
|---|---|
| 探索 | 使用 Defender for Cloud Apps 找出影子 IT。 探索雲端環境中的應用程式、活動、使用者、資料及檔案,以取得可見度。 探索連接至您雲端的協力廠商應用程式。 |
| 調查 | 使用雲端鑑識工具深入探索具風險的應用程式、特定使用者及您網路中的檔案,以調查您的雲端應用程式。 在雲端所收集的資料中尋找模式。 產生報告來監視您的雲端。 |
| 控制 | 設定原則及警示,以盡最大可能控制網路雲端流量並降低風險。 使用 Defender for Cloud Apps,將您的使用者移轉到既安全又獲批准的替代雲端應用程式。 |
| 保護 | 使用 Cloud App Security 來批准或禁止應用程式、強制執行資料損失防範措施、控制權限和共用,並產生自訂報告和警示。 |
| 控制 | 設定原則及警示,以盡最大可能控制網路雲端流量並降低風險。 使用 Defender for Cloud Apps,將您的使用者移轉到既安全又獲批准的替代雲端應用程式。 |
Defender for Cloud Apps 會透過下列方式整合可見度與您的雲端:
使用 Cloud Discovery 來對應和辨識您的雲端環境以及貴組織正在使用的雲端應用程式。
批准和禁止您雲端中的應用程式。
使用利用提供者 API 易於部署的應用程式連接器,以獲得您可以連線的應用程式的可見度和控管。
設定並持續微調原則,協助您持續控制。
從這些來源收集資料時,Defender for Cloud Apps 會對資料執行複雜的分析。 它會立即提醒您有異常活動,並讓您深入了解您的雲端環境。 您可以在 Defender for Cloud Apps 中設定原則,用來保護您雲端環境中的一切。
透過 Azure Marketplace 提供的協力廠商威脅防護功能
Web 應用程式防火牆
Web 應用程式防火牆會檢查輸入的 Web 流量和並封鎖 SQL 插入、跨網站指令碼、惡意程式碼上傳和應用程式 DDoS 攻擊,以及目標為您 Web 應用程式的其他攻擊。 它也會針對資料外洩防護 (DLP) 檢查來自後端 Web 伺服器的回應。 整合式存取控制引擎讓系統管理員能夠建立細微的存取控制原則以用於驗證、授權和帳戶處理 (AAA),其可為組織提供增強式驗證和使用者控制。
Web 應用程式防火牆提供下列優點:
偵測並封鎖 SQL 插入、跨網站指令碼、惡意程式碼上傳、應用程式 DDoS 或針對您應用程式的任何其他攻擊。
驗證和存取控制。
掃描輸出流量以偵測敏感性資料,並且可為資訊加上遮罩或封鎖以防止外洩。
使用快取、壓縮及其他流量最佳化等功能,來加速 Web 應用程式內容的傳遞。
如需 Azure Marketplace 中可用 Web 應用程式防火牆的範例,請參閱 Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall (Barracuda WAF、Brocade 虛擬 Web 應用程式防火牆 (vWAF)、Imperva SecureSphere 和 ThreatSTOP IP 防火牆)。
後續步驟
- 回應今日的威脅:協助識別以您的 Azure 資源為目標的作用中威脅,並提供您快速回應所需的見解。