M365基礎知識 Part 6–資安管理
Microsoft Defender Vulnerability Management
Defender Vulnerability Management 為 Windows、macOS、Linux、Android、iOS 和網路設備提供資產可見性、智慧評估和內建修復工具。
Defender Vulnerability Management使用 Microsoft threat intelligence、違規可能性預測、業務環境和設備評估,快速、持續地對最關鍵資產上最大的漏洞進行優先排序,並提供安全建議以降低風險。
持續的資產探索與監控
即使裝置沒有連接到公司內部網路,Defender Vulnerability Management 內建的agentless scanners也會持續監控和偵測組織中的風險。
Consolidated inventories提供組織的軟體應用程式、數位憑證、硬體和韌體以及瀏覽器擴充功能的即時視圖,以幫助資安團隊監控和評估組織的所有資產。範例包括:
- 軟體和漏洞的可見性 — 查看組織的軟體清單以及軟體變更(例如安裝、卸載和修補程式)
- 網路共享評估 — 透過可行的安全性建議評估易受攻擊的內部網路共享配
- 瀏覽器擴充功能評估 — 查看組織中不同瀏覽器上安裝的瀏覽器擴充功能的清單。查看有關擴充功能權限和相關風險等級的資訊
- 數位憑證評估 — 在單一集中憑證清單頁面中查看整個組織中安裝的憑證清單。在憑證過期之前識別憑證並檢測由於簽名演算法較弱而導致的潛在漏洞
基於風險的智慧優先排序
Defender Vulnerability Management使用 Microsoft 的threat intelligence、breach likelihood predictions、business contexts與device assessments來快速確定組織中最大漏洞的優先順序。
基於風險的智慧優先排序劃分重點在於新出現的威脅,將安全建議的優先順序與當前正在利用的漏洞以及構成最高風險的新威脅保持一致。基於風險的智慧優先排序還可以找出主動違規行為並保護高價值資產。
來自多個安全來源的優先順序建議的單一視圖以及包括相關CVE(Common Vulnerabilities and Exposures)以及暴露設備在內的關鍵詳細資訊,可幫助組織快速修復最關鍵資產上的最大漏洞。
修正與追蹤
修復和追蹤使資安團隊和 IT 管理員能夠透過內建工作流程進行協作並修復問題。
- 傳送給 IT 的修正請求 — 根據特定安全建議在 Microsoft Intune 中建立修正任務
- 阻止易受攻擊的應用程式 — 透過阻止特定設備群的易受攻擊的應用程式來降低風險
- 替代緩解措施 — 深入了解其他緩解措施,例如可以降低與軟體漏洞相關的風險的配置變更
- 即時修復狀態 — 即時監控整個組織內修復活動的狀態和進度
Microsoft Defender portal
Microsoft Defender Vulnerability Management在 Defender portal的功能有:
- Dashboard —
使用 Microsoft Defender 網站中的 Defender 漏洞管理儀表板來查看暴exposure score和 Microsoft Secure Score for Devices,以及最高安全建議、軟體漏洞、補救活動、暴露的裝置等 - Recommendations —
在此頁面中,可以查看建議、發現的弱點數量、相關組件、威脅洞察、暴露的設備數量等等 - Remediation —
當從安全建議頁面提交修復請求時,它會啟動修復活動。建立的安全作業可以在「Remediation」頁面上進行追蹤。在修復頁面中,可以按照修復步驟操作、追蹤進度、查看相關建議、匯出至 CSV 或標記為完成 - Inventories—
Software inventory會顯示網路中安裝的軟體清單,包括供應商名稱、發現的弱點、與其相關的威脅、暴露的設備、對暴露分數的影響和標籤。Software inventory頁面中可能存在目前不受漏洞管理支援的軟體,但由於不受支援,因此只能使用有限的資料 - Weaknesses —
此葉面包含裝置所暴露的 CVE 清單。可以查看嚴重性、CVSS評分、相應的漏洞和威脅見解等 - Event timeline —
Event timeline可協助我們解釋風險如何透過新漏洞或漏洞引入組織。可以查看可能影響組織風險的事件。及可以查看與事件相關的所有必要資訊 - Baseline assessments —
這是我們建立的自訂設定文件,用於根據產業安全基準評估和監控組織中的端點。在security baselines assessment overview頁面上,可以查看可用基準的設備合規性、設定檔合規性、排名前列的有問題設備以及排名前面的錯誤配置設備
Microsoft Defender Threat Intelligence
威脅情報分析師很難在威脅情報擷取的廣度與分析哪些威脅情報對其組織和(或)產業構成最大威脅之間取得平衡。同樣,漏洞情報分析師努力將其資產清單與CVE 資訊關聯起來,以優先調查和修復與其組織相關的最關鍵漏洞。
Microsoft Defender Threat Intelligence透過資料工程與機器學習關鍵資料來源並將其呈現儀錶板中。然後,分析師可以將IOC(indicators of compromise)與相關文章、行動者資料和漏洞關聯起來。 Defender TI 還允許分析師與租戶內的其他 Defender TI 授權使用者合作進行調查。
Microsoft Defender Threat Intelligence包含:
- Threat analytics
- Intel Profiles
- Intel Explorer
- Projects
威脅分析
威脅分析可協助分析師了解新出現的威脅如何影響組織環境。威脅分析報告提供對所追蹤威脅的分析以及有關如何防禦該威脅的指導。它還包含來自網路的數據,表明威脅是否活躍以及組織是否採取了適用的保護措施。組織可以過濾和搜尋報告,但 Defender TI 還提供了儀表板。
威脅分析儀表板突顯與組織最相關的報告。它將威脅總結為三類:
- 最新威脅 — 列出最近發布或更新的威脅報告,以及活動和已解決警報的數量
- 高度衝擊威脅 — 列出對組織影響最大的威脅。本部分首先列出了活動告警和已解決警報數量最多的威脅
- 最高暴險程度 — 列出組織暴險程度最高的威脅。組織面臨威脅的程度是使用兩個資訊來計算的:與威脅相關的漏洞的嚴重程度,以及組織中的多少設備可能被這些漏洞利用
每個報告都提供概述、分析報告、相關事故、受影響的資產、端點暴險和建議的操作。
Intel profiles
Intel profile是 Microsoft 關於所追蹤的威脅行動者、惡意工具和漏洞的可共享知識的權威來源。此內容由 Microsoft 威脅情報專家策劃並不斷更新,以提供相關且可操作的威脅脈絡。
Intel explorer
分析師可以在intel explorer中快速掃描新的專題文章並執行關鍵字、指標或 CVE ID 搜索,以開始情報收集、分類、事故回應和搜尋工作。
Microsoft Defender 威脅情報文章是提供對威脅行動者、工具、攻擊和漏洞的深入了解的敘述。這些文章總結了不同的威脅,並連結到可操作的內容和關鍵 IOC,以幫助使用者採取行動。
Defender TI 提供 CVE-ID 搜尋來幫助使用者識別有關 CVE 的關鍵資訊。 CVE-ID 搜尋結果為漏洞文章。
Intel Projects
Microsoft Defender Threat Intelligence(Defender TI) 讓我們建立專案來調查與組織相關的IOC(indicators of compromise)。專案包含所有關聯工件(artifacts)的清單以及保留名稱、描述、協作者和監控設定檔的詳細歷史記錄。
Microsoft Defender portal
Microsoft Defender TI在Defender portal的呈現資訊:
Microsoft Defender portal的功能
由於M365提供了一堆的資安工具與解決方案,所以集中一個統一的管理平台來進行資安的各項作業就是想而當然得。這麼多的資安作業需要進行,勢必要透過先進的生成式 AI 作為單一平台提供最佳的 SIEM、XDR、態勢管理和威脅情報。
Microsoft Defender 網站會顯示資安團隊所需的許多常用功能。功能和資料的組成取決於使用者角色。由於 Microsoft Defender 網站基於使用者會看到不一樣的資訊。
曝險管理(Exposure management)
這是一種安全解決方案,可提供公司資產和工作負載安全狀況的統一視圖。曝險管理透過整個資安脈絡的資產訊息,幫助組織主動管理攻擊面、保護關鍵資產以及探索和降低暴露風險。
透過這個方案,資安團隊可以探索和監控資產,獲得豐富的安全洞察,透過安全計畫調查特定風險領域,並追蹤整個組織的指標以改善安全狀況。
攻擊面(Attack surface)
安全曝險管理會根據跨資產和工作負載收集的資料自動產生攻擊路徑。它模擬攻擊場景,並識別攻擊者可能利用的漏洞和弱點。
安全洞察(Security insights)
安全暴險管理中的曝險洞察(Exposure insights)不斷地將跨工作負載和資源的安全態勢資料和洞察聚合到單一流水線中。
- 該舉措提供了一種簡單的方法來評估特定安全區域或工作負載的安全準備情況,並隨著時間的推移不斷追蹤和衡量該區域或工作負載的暴露風險
- Security Exposure Management中的指標可衡量安全舉措中特定範圍的資產或資源的安全性暴險
- Recommendations可協助組織了解特定安全舉措的合規性狀態
- Events可協助組織監控計劃變更
安全分數(Secure score)
安全性分數是 Microsoft Defender 網站中的工具之一,代表了公司的安全狀況。分數越高,保護越好。透過 Microsoft Defender 網站中的集中儀表板,組織可以監控和處理其 Microsoft 365 身分、應用程式和裝置的安全性。
安全分數提供分數細項、可以提高組織分數的改進措施以及組織的安全分數與其他類似組織的比較。
調查與回應(Investigation & response)
事故與告警:
Microsoft Defender 網站中的事故是相關告警、資產、調查和證據的集合,可讓資安團隊全面了解攻擊的整個範圍。它可以是案例文件,組織的 SOC 可使用它來調查該攻擊並管理、實施和記錄對其的回應。由於 Microsoft Defender 網站建立在統一的平台之上,因此資安團隊可以檢視所有事故,包括 Microsoft Defender XDR 解決方案套件、Microsoft Sentinel 和其他解決方案產生的事故。
在事故(Incident)中,資安團隊可以分析影響網路的警報、了解它們的含義並整理證據,以便制定有效的補救計劃。為事故提供的資訊包括:
- 攻擊的完整故事,包括所有告警、資產和採取的補救措施
- 與該事故相關的所有告警
- 已辨識是事故的一部分或與事故相關的所有資產(裝置、使用者、郵箱和應用程式)
- 事故中的告警觸發的所有自動調
- 所有支持的證據和回應
如果組織有使用 Copilot for Security,資安團隊也可以查看故摘要、指導回應等。
獵捕(Hunting):
進階獵捕(Advanced hunting)是一種基於查詢的威脅搜尋工具,可讓資安團隊尋找來自 Microsoft Defender XDR 和 Microsoft Sentinel 的 30 天的原始資料。可以透過搜尋查詢主動檢查網路中的事件以定位威脅指示器(threat indicators)和實體(entities)。如果資安團隊熟悉 KQL(Kusto Query Language)、使用query builder或透過 Copilot for Security,可以透過查詢編輯器建立搜尋查詢。對於使用 Microsoft Copilot for Security 的組織,可以使用自然語言提出要求或提出問題,Copilot for Security 會產生與該要求相對應的 KQL 查詢。
資安團隊可以使用相同的威脅搜尋查詢來建立自訂偵測規則。這些規則會自動運行以檢查並回應可疑的違規活動、錯誤配置的電腦和其他發現。
行動和提交(Actions and submissions):
統一的操作中心匯集了 Microsoft Defender for Endpoint 和 Microsoft Defender for Office 365 的修復作業。它在一個位置列出了針對組織的裝置、電子郵件和協作內容以及身分的待處理和已完成的補救操作。
在具有 Exchange Online 信箱的 Microsoft 365 組織中,管理員可以使用 Microsoft Defender 網站中的「Submissions」頁面將訊息、URL 和附件提交給 Microsoft 進行分析。
合作夥伴目錄(Partner catalog):
合作夥伴目錄列出了支援的技術合作夥伴和專業服務,可以幫助組織增強平台的偵測、調查和威脅情報功能。
資產(Assets)
透過「Assets」頁面,資安團隊可以查看和管理組織受保護和發現的資產(設備和身分)的清單。
設備清單(Device inventory)顯示網路中產生告警的設備清單。預設情況下,佇列顯示過去 30 天內看到的設備。組織一目了然,可以看到網域、風險等級、作業系統平台和其他詳細資訊,以便輕鬆識別風險最大的設備。身分清單(identity inventory)提供了所有公司身分(雲端和本地)的全面視圖。
Microsoft Sentinel(微軟的SIEM)
一些 Microsoft Sentinel 功能(例如unified incident queue)可透過 Defender 網站的事故和告警頁面以及來自其他 Microsoft Defender 服務的事故進行存取。 Defender 網站的 Microsoft Sentinel 部分提供了許多其他 Microsoft Sentinel 功能。以下功能都會對應到微軟所提供的相關資安方案:
- Identities
- Endpoints
- Email and collaboration
- Cloud apps
SOC(Security operations center)的優化
SOC 團隊積極尋找優化流程和結果的機會。 SOC 最佳化揭示了最佳化安全控制的方法,隨著時間的推移,從 Microsoft 安全服務中獲得更多價值。
報告(Reports)
管理員可以從一般安全性報告開始,然後擴展到有關端點、電子郵件和協作、雲端應用程式、基礎架構和身分的特定報告。上圖顯式的連結是根據工作負載配置動態產生的。
Microsoft Defender XDR與Copilot的整合
太多的資料、太多的事件需要人員整理,但是通常都會很慢。而AI的加入則大大了強化了這一類需要大量人力的工作,並且能更正確的產出結論。
獨立體驗(standalone experience)
對於使用Microsoft Copilot for Security 的企業,可以透過 Copilot 網站存取的插件來啟用整合(獨立體驗)。有兩個單獨的插件(Plugins)支援與 Microsoft Defender XDR 整合:
- Microsoft Defender XDR
- Natural language to KQL for Microsoft Defender XDR
Microsoft Defender XDR plugin包含的功能使組織能夠:
- 分析檔案
- 產生事故報告
- 產生指導性回應
- 列出事故和相關告警
- 總結設備的安全狀態
Copilot 中的 Microsoft Defender XDR 功能是組織可以使用的內建prompts,但組織也可以根據支援的功能輸入自己的prompts。
Copilot 還包括用於 Microsoft Defender XDR 事件調查的內建promptbook,組織可以使用它來獲取有關特定事故的報告,以及相關告警、聲譽評分、使用者和裝置。
Microsoft Defender plugin的 Natural language to KQL 支援查詢助理功能,可將威脅搜尋脈絡中的任何自然語言問題轉換為可立即執行的KQL查詢。查詢助理透過產生 KQL 查詢來節省資安團隊的時間,然後可以根據分析師的需求自動執行或進一步調整該查詢。
崁入式體驗(embedded experience)
啟用plugins後,還可以透過崁入式體驗來體驗 Copilot 與 Defender XDR 的整合,這在 Microsoft Defender XDR 中稱為 Copilot。
Microsoft Defender XDR 中的 Copilot 讓資安團隊能夠透過 Microsoft Defender XDR 網站快速有效地調查和回應事故。 Microsoft Defender XDR 中的 Copilot 支援以下功能。
- 總結事故(Summarize incidents)
- 指導性回應(Guided responses)
- 腳本分析(Script analysis)
- 自然語言產生的KQL查詢(Natural language to KQL queries)
- 事故報告(Incident reports)
- 分析檔案(Analyze files)
- 裝置與身分摘要(Device and identity summaries)
總結事故
若要立即了解事故,資安團隊可以使用 Microsoft Defender XDR 中的 Copilot 總結事故。 Copilot 會建立攻擊概述,其中包含重要訊息,供團隊了解攻擊中發生的情況、涉及哪些資產、攻擊時間軸等。當導覽至事故頁面時,Copilot 會自動建立摘要。最多可包含 100 個告警的事故可匯總為一個事故摘要。
指導性回應
Microsoft Defender XDR 中的 Copilot 使用 AI 和機器學習功能將事故置於情境中,並從先前的調查中學習,以產生適當的回應操作,這些操作會是指導性回應。 Copilot 的指導式回應功能使各級事故回應團隊能夠快速地應用回應操作來解決事故。
指導性回應建議以下幾類行動:
- 分類 (Triage)— 包括將事件分類為資訊性、真告警或假警報的建議
- 圍堵(Containment) — 包括圍堵事故的建議行動
- 調查(Investigation) — 包括進一步調查的建議行動
- 補救措施(Remediation) — 包括適用於事故涉及的特定實體的建議回應措施
每張功能都包含有關建議操作的資訊,包括建議該操作的原因、類似事故等。例如,當組織內存在與當前事故類似的其他事故時,「View similar incidents」可以當作參考。事故回應團隊(Incident response teams)還可以查看使用者資訊以採取補救措施,例如重設密碼。
但並非所有事故/告警都提供指導回應。針對網路釣魚、商業電子郵件外洩和勒索軟體等事故類型則會有指導性回應。
腳本分析與代碼
Microsoft Defender XDR 中 Copilot 的腳本分析功能為資安團隊提供了額外的能力,無需使用外部工具即可檢查腳代碼。此功能還降低了分析的複雜性,允許資安團隊快速評估和識別腳本是惡意的還是良性的。
組織可以透過多種方式存取腳本分析功能。上圖呈現了包含 PowerShell 腳本執行的告警的process tree。選擇分析按鈕會產生 Copilot 腳本分析。
產生KQL查詢
Microsoft Defender XDR 中的 Copilot 具有advanced hunting中的查詢助理功能。若要存取 KQL query assistant的自然語言,有權存取 Copilot 的使用者從 Defender XDR 網站的左側導覽窗格中選擇進階搜尋。
Copilot 提供了一個prompts,我們可以使用 Copilot 開始尋找威脅,或者可以在prompt bar中編寫自己的自然語言問題以產生 KQL 查詢。例如,“向我提供過去 30分鐘內登入的所有設備。”然後,Copilot 使用進階搜尋資料架構產生與請求相對應的 KQL 查詢。
之後,使用者可以透過選擇「Add並run」來選擇執行查詢。然後,產生的查詢將在查詢編輯器中顯示為最後一個查詢。若要進一步調整,選擇“Add至editor”。
建立事故報
全面、清晰的事故報告是資安團隊和資安維運管理的重要參考。然而,對於資安維運團隊來說,編寫包含重要詳細資訊的綜合報告可能是一項耗時的任務,因為它涉及從多個來源收集、組織和總結事件資訊。Security Copilot現在可以協助建立事故報告。
事故摘要(incident summary)提供了事故及其發生方式的概述,而事故報告則整合了來自 Microsoft Sentinel 和 Microsoft Defender XDR 中可用的各種資料來源的事故資訊。事故報告還包括所有分析師驅動的步驟和自動操作、參與回應的分析師、分析師的評論等等。
若要建立事故報告,選擇事故頁面右上角的產生事件報告或 Copilot 窗格中的圖示。產生事故報告後,選擇事故報告上的省略符號將為使用者提供將報告複製到剪貼簿、發佈到活動日誌、重新生成報告或選擇在 Copilot 獨立體驗中開啟的選項。
分析檔案
複雜的攻擊通常使用模仿合法檔案或系統檔案來逃避檢測。 Microsoft Defender XDR 中的 Copilot 讓資安團隊能夠透過 AI 支援的檔案分析功能快速識別惡意和可疑檔案。
有多種方法可以存取特定檔案的詳細設定檔頁面。在下圖範例中,資安團隊可以透過包含受影響檔案的事故圖可以追蹤到那些檔案。事件圖顯示了攻擊的全部範圍、攻擊如何隨時間在網路中傳播、攻擊從何處開始以及攻擊者跑了多遠。
從事件圖中選擇檔案會顯示檢視檔案的選項。選擇檢視檔案會在螢幕右側開啟一個面板,列出受影響的檔案。選擇任何文件都會顯示文件詳細資訊的概述以及分析文件的選項。選擇“Analyze”將開啟 Copilot 檔案分析。
裝置與身分的摘要
Defender 中 Copilot 的裝置摘要(device summary)功能可讓資安團隊取得裝置的安全狀況、易受攻擊的軟體資訊和任何異常行為。安全分析師可以使用設備的摘要來加快對事故和告警的調查。
有多種方法可以存取設備摘要。在此範例中,透過incident assets頁面導覽至裝置摘要。選擇事故的資產標籤會顯示所有資產。從左側導覽面板中,選擇設備,然後選擇特定的設備名稱。從右側開啟的概述頁面可以選擇“Copilot”。同樣,Microsoft Defender XDR 中的 Copilot 可以摘要Identities。
