Azure 安全中心威胁保护
Azure 安全中心会探测到环境中的所有威胁并发出警报。警报会有受影响资源的详细信息,所建议的修复措施,在一些场景下还可以出发logic app的相应。
Azure 安全中心威胁防护提供综合的环境防护:
- 计算资源的威胁防护:windows machines、linux machines、azure app service、azure container
- Azure数据资源的威胁防护:SQL数据库、Azure Synapse Analytics(后来改位SQL Data Warehouse)、Azure 存储、Azure Cosmos DB
- Azure 服务层威胁防护:Azure 网络层、Azure管理层(Azure Resource Manager)、Azure Key Vault
无论报警是否是由安全中心生成的,或者是从其他的安全产品发送给安全中心的,你们都可以将其导出。可以将警报导出给Azure Sentinel,或者第三方的SIEM,或者其他的外部工具。
注意: 不同来源的报警的时效性因数据源而异,如果警报需要分析网络流量,那就需要耗费更多的时间来进行分析,才能生成相应的报警。
Windows machine的威胁防护
Azure 安全中心会和azure的其他服务进行集成来监控保护windows系统的机器。安全中心会产生报警和修复建议。
- Microsoft Defender Advanced Threat Protection ATP
安全中心可以和Azure ATP一起集成,提供一套综合的终端监测和相应能力,EDR,endpoint detection response。
ATP sensor在windows server里面是自动启用的,可以供安全中心使用,直接将数据进行搜集。
ATP可以监测威胁,触发警报。ATP的警报可以在安全中心的仪表盘上呈现出来,在仪表盘点击相应的ATP报警之后,就会进入ATP的管理界面,然后就可以进行下一步的调查。
- Fileless attack detection
无文件式攻击给内存里面注入恶意负载,这样能够逃过扫描工具的监测,攻击负载可以破坏内存,影响进程,进行下一步的恶意攻击。
对于无文件式的攻击监测,内存鉴定技术可以识别无文件式攻击工具包、技术、以及行为。这些解决方案会周期性地对机器进行扫描,直接从内存的进程中提取出有用的洞见insight,具体Linux的洞见有如下:
- 常用的工具包和加密采矿软件(crypto mining software)
- shellcode,轻量级的代码,用来发现软件中的漏洞的
- 在内存中注入恶意可执行软件
无文件攻击监测一般会提供详细的安全警报,里面包括进程元数据描述,比如网络活动。这样扩大了监测面以及相关度,减少下流相应时间。
Linux机器威胁防护
安全中心收集Linux机器的审计记录,最常见的linux审计框架auditd
auditd会跑在linux主线内核中。
- linux auditd 报警和log analytics agent integration
auditd 系统包括了内核级别的子系统,负责监控系统调用。安全中心用LA anget把auditd包的功能进行集成。这种集成使得auditd事件收集的所有日志事件都无前提条件地支持所有linux版本。
采用LA agent来将auditd record收集的数据全部聚集起来。安全中心会持续监测云上或者本地linux机器。和windows一样,这些威胁分析可以涉及可疑进程、可疑登录尝试、内核模块加载。
Azure App Service威胁防护
安全中心使用云的可扩展性来监测攻击目标应用程序,这些应用程序是跑在App Service上的。攻击者会侦察web应用程序来发现其中可利用的漏洞。在被路由到指定的环境种之前,跑在Azure上的应用程序会要先穿过很多到网关,每经过一次网关就会进行一次检查和记录日志。这些数据都会用来发现攻击者,用来学习其日常行径。
安全中心可以充分利用云上的透明度,安全中心可以分析App Service的内部数据,用来找出攻击方案,比如可以用来找到广泛扫描工具、分布式攻击。这些攻击一般会来自于一个IP的子网段,然后回横向移动到相似的终结点进行类似的攻击。
容器威胁防护
安全中心可以给容器化的环境提供实时的威胁防护并且产生可疑报警。基于这些报警,可以对环境进行即时修复。
SQL数据库安全防护
ATP SQL 数据库威胁防护监测异常行为,异常行为可以是异常潜在回损害或访问数据库的尝试行为。
关于SQL的报警有:SQL注入式攻击、异常数据库访问、异常查询模式、潜在漏洞、可疑数据库中心。
SQL数据库的ATP是高级数据安全ADS统一服务包的一部分。
Azure 存储的威胁防护
Azure存储的威胁防护可疑监测潜在的可疑活动。这部分的防护涉及blob container、file share、data lake。
存储的安全报警:
- 可疑活动,比如说存储账户从未知的IP地址进行访问
- 匿名活动:比如说,存储账户的访问模式改变
- 可疑的恶意加载:哈希reputation 分析可以监测上传文件中是否又恶意文件
Hash Reputation可以分析什么样的恶意软件?
Has reputation分析lion给Microsoft Threat Intelligence来监测。威胁保护工具不会扫描上传的文件,而是去监测存储的日志,并比较最新上传文件的哈希值,是否包含已知的恶意软件。
Azure cosmosDB的威胁防护 preview
Azure网络层的威胁防护
安全中心网络层的分析是基于IPFIX data,这是Azure 核心路由器收集的package header。基于这些数据,安全中心会建立机器学习模型来监测是否有威胁行为,安全中心使用微软威胁智能数据库来丰富IP地址。
一些网络配置也许会限制安全中心的功能,从而不能产生相应的报警。为了让安全中心能够生成报警,要确保
- 虚拟机用公网IP地址,或者基于公网IP的负载均衡器
- 虚拟机网络入站流量不会被外部IDS方案拦截
- ,,,
Azure Resource Manager的威胁防护
安全中心Azure Resource manager 保护层。
Azure Key Vault威胁防护
Azure Key Vault
Azure WAF 威胁防护
Azure Application Gateway 提供web 应用程序防火墙,将web应用程序进行集中保护,以放常见的攻击和漏洞。