MS Defender for Cloud的告警修復
Microsoft Defender for Cloud 提供了一個目標驅動的使用者介面,用於管理和調查受保護資源中的安全事故和告警。該告警包括補救威脅所需採取的措施以及防止未來攻擊的步驟。
Security alerts
Microsoft Defender for Cloud 提供許多不同資源類型的各種告警。 Defender for Cloud 會針對部署在 Azure 上的資源以及部署在地端和混合雲環境中的資源產生告警。告警由進階偵測觸發,並且僅適用於 Defender for Cloud。
過去 20 年來,威脅情勢發生了重大變化。過去,公司通常只需要擔心個人攻擊者對網站的破壞,而這些攻擊者最感興趣的是「他們能做什麼」。今天的攻擊者更加老練和有組織性。他們通常有特定的財務和策略目標。他們也擁有更多可用資源,因為他們可能得到國家層級或有犯罪組織的資助。
這些不斷變化的現實導致攻擊者的專業達到了前所未有的水準。他們不再對改東西感興趣。他們現在對竊取資訊、財務帳戶和私人資料感興趣 — — 所有這些他們都可以用來在公開市場上賺取金錢或利用特定的商業、政治或軍事地位。比那些以經濟為目的的攻擊者更令人擔憂的是那些破壞網路以損害基礎設施和人員的攻擊者。
作為回應,組織經常部署各種單點式解決方案,重點在於尋找已知的攻擊特徵來防禦企業邊界或端點。這些解決方案往往會產生大量低假警報,需要安全分析師進行分類和調查。大多數組織缺乏回應這些假警報所需的時間和專業知識,因此許多警報都沒有解決。
此外,攻擊者已經發展了他們的方法來顛覆許多signature-based的防禦並適應雲端環境。需要新的方法來更快地識別新出現的威脅並加快偵測和回應。
甚麼是security alerts與security incidents
告警(Alert)是 Defender for Cloud 在偵測到資源有威脅時產生的通知。 Defender for Cloud 會告警列出優先順序,以及快速調查問題所需的資訊。 Defender for Cloud 也提供如何修復攻擊的建議。
安全事故(Security incident)是相關告警的集合,而不是單獨列出每個告警。 Defender for Cloud 使用雲端智慧告警關聯將不同的告警和可能是假警報訊號關聯到安全事故。
對於安全事故,Defender for Cloud 提供攻擊活動和所有相關告警的單一視圖。此視圖使我們能夠快速了解攻擊者採取了哪些操作以及哪些資源受到了影響。
如何偵測威脅?
Microsoft 安全研究人員一直在尋找威脅。由於微軟也是CSP,它們可以存取廣泛的遙測數據。廣泛且多樣化的資料集使微軟能夠發現地端機房客戶和企業產品以及線上服務的新攻擊模式和趨勢。因此,當攻擊者發布新的且日益複雜的漏洞時,Defender for Cloud 可以快速更新其偵測演算法。這種方法可以幫助我們跟上快速變化的威脅環境。
為了偵測真正的威脅並減少假警報,Defender for Cloud 會收集、分析和整合來自 Azure 資源和網路的日誌資料。它還可與合作夥伴解決方案一起分享這些資料,例如防火牆和端點保護解決方案。 Defender for Cloud 分析這些資訊,通常將多個來源的資訊關聯起來,以識別威脅。
Defender for Cloud 採用先進的安全分析,超出了signature-based的方法。大數據和機器學習技術的突破用於評估整個雲端結構中的事件,偵測運用手動方式無法識別的威脅並預測攻擊的演變。這些安全分析包括:
- Integrated threat intelligence:
Microsoft收集一大堆的資料,例如 Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft DCU(Digital Crimes Unit) 和 MSRC(Microsoft Security Response Center)。研究人員還接收主要CSP之間共享的威脅情報資訊以及來自其他第三方的回饋。 - Behavioral analytics:
行為分析是一種分析資料並將其與已知模式集合進行比較的技術。然而,這些模式並不是signatures base。它們是透過應用於海量資料集的複雜機器學習演算法來確定的。它們也是透過專家分析師對惡意行為的仔細分析來確定的。 Defender for Cloud 可以使用行為分析,根據對VM日誌、虛擬網路設備日誌、結構日誌和其他來源的分析來識別被入侵的資源。 - Anomaly detection:
Defender for Cloud 也會使用異常偵測來識別威脅。與行為分析(取決於從大型資料集衍生的已知模式)相比,異常檢測更加“個人化”,並專注於特定於組織所部署服務的baseline。應用機器學習來確定部署的正常活動。然後,產生規則來定義可以代表安全事故的異常條件。
告警分類
Defender for Cloud 為告警區分嚴重性,以幫助我們確定回應每個告警的優先順序,因此當資源受到威脅時,我們可以立即處理它。嚴重性取決於 Defender for Cloud 對發現結果或用於發出告警的分析的可信度,以及導致警告的活動背後存在惡意意圖的可信度。
- High
資源很可能會受到損害。應該立即調查。 Defender for Cloud 對惡意意圖和用於發出告警的結果都抱有很高的信心。例如,告警會偵測到已知惡意工具的執行,例如 Mimikatz(一種用於憑證盜竊的常見工具)。 - Medium
此嚴重性表明這可能是可疑活動,可能表示資源受到損害。 Defender for Cloud 對分析或發現的可信度為中,對惡意意圖的可信度為中到高。這些通常是機器學習或基於異常的檢測。例如,從異常位置嘗試登入。 - Low
此表明它可能是良性正向攻擊或被阻止的攻擊。
— Defender for Cloud 沒有足夠的信心認為該意圖是惡意的,而該活動可能是正常的。例如,清除日誌是攻擊者試圖隱藏其痕跡時可能發生的操作,但在許多情況下,這是管理員執行的例行操作。
— Defender for Cloud 通常不會告訴我們何時被攻擊,除非這是微軟建議我們的。 - Informational
只有當我們深入研究安全事故或使用具有特定告警 ID 的 REST API 時,才會看到Informational alerts。事故通常由許多告警組成,其中一些告警本身可能只是提供資訊,但在其他告警的背景脈絡下可能值得仔細查看。
持續監控與評估
Defender for Cloud 受益於整個 Microsoft 可以刮一堆資料,他們持續監控威脅情勢的變化。這包括以下舉措:
- 威脅情資(TI)監控:
威脅情資包括有關現有或新興威脅的機制、指標、影響和可操作的建議。此資訊在安全社群中共享,並且 Microsoft 持續監控來自內部和外部來源的威脅情資來源。 - 訊號共享(Signal sharing):
共享和分析來自 Microsoft 廣泛的雲端和地端服務、伺服器和客戶端端點設備組合的安全團隊的見解。 - Microsoft 安全專家:
與 Microsoft 從事專業安全領域(例如取證和 Web 攻擊偵測)的團隊持續合作。 - 偵測調整:
演算法針對真實的客戶資料集進行運算,安全研究人員與客戶合作驗證結果。真告警和假警報用於改進機器學習演算法。
告警類型
目前告警參考清單包含 500 多種類型。可以參閱 Security alerts — a reference guide。每個告警類型都有描述、嚴重性和 MITRE ATT&CK tactic。
了解攻擊的意圖可以幫助我們容易地調查和報告事故。為了幫助完成這些作業,Defender for Cloud 告警包括帶有許多警報的 MITRE 戰術。描述網路攻擊從偵察到資料外洩的過程的一系列步驟通常被稱為「kill chain」。
Defender for Cloud 支援的kill chain意圖是基於 MITRE ATT&CK 矩陣版本 7,如下所述(戰術與描述)。
- PreAttack
這可能是攻擊者嘗試存取特定資源,也可能是在利用之前嘗試存取目標系統以收集資訊的失敗嘗試。此步驟通常被偵測為來自網路外部的掃描目標系統並識別入口點的嘗試。 - InitialAccess
這是攻擊者設法在受攻擊資源上立足的階段。此階段與運算主機和資源(例如使用者帳戶、憑證等)相關。 - Persistence
這是指對系統進行的任何存取、操作或配置更改,使攻擊者能夠在該系統上持久存在。攻擊者通常需要透過系統的重新啟動、取得憑證或其他故障(需要遠端存取工具重新啟動或提供備用後門來重新獲得存取權限)來維持對系統的存取權。 - PrivilegeEscalation
這是允許攻擊者在系統或網路上獲得更高等級權限的操作的結果。某些工具或操作需要更高等級的權限才能進行,並且在整個操作過程中的許多時候可能是必需的。有權存取特定系統或執行攻擊者實現其目標所需的特定功能的使用者帳號也可能被視為特權升級。 - DefenseEvasion
包括攻擊者可能用來逃避偵測或避免其他防禦的技術。有時,這些操作與其他類別中的技術相同(或變體),這些技術具有破壞特定防禦或緩解措施的額外效益。 - CredentialAccess
憑證存取代表導致存取或控制企業環境中使用的系統、網域或服務憑證的技術。攻擊者可能會嘗試從使用者或管理員帳戶(本機系統管理員或具有管理員存取權限的網域使用者)取得合法憑證,以便在網路中使用。透過網路內的足夠存取權限,攻擊者可以建立帳戶以供以後在環境中使用。 - Discovery
這包括允許工攻擊者取得有關系統和內部網路的知識的技術。當攻擊者獲得對新系統的存取權限時,他們必須與他們現在所控制的系統以及在入侵期間從該系統中運行可以為其當前目標或總體目標帶來哪些效益保持一致。作業系統提供了許多本機工具來幫助完成入侵後的資訊收集階段。 - LateralMovement
橫向移動包括使攻擊者能夠存取和控制網路和雲端上的遠端系統的技術,但不一定包括在遠端系統上執行工具。橫向移動技術可以讓攻擊者從系統收集資訊,而無需更多工具,例如遠端存取工具。攻擊者可以將橫向移動用於多種目的,包括遠端執行工具、轉向更多系統、存取特定資訊或檔案、存取其他憑證或造成影響。 - Execution
這代表導致在本地或遠端系統上執行攻擊者所控制的代碼的技術。這種戰術通常與橫向移動一起使用,以擴展對網路上遠端系統的存取。 - Collection
收集包括用於在Exfiltration之前從目標網路識別和收集資訊(例如敏感檔案)的技術。此類別還涵蓋系統或網路上攻擊者可能尋找要洩露的資訊的位置。 - Exfiltration
這是指導致或幫助攻擊者從目標網路中刪除檔案和資訊的技術和屬性。此類別還涵蓋系統或網路上攻擊者可能尋找要洩露的資訊的位置。 - CommandAndControl
這代表攻擊者如何在目標網路內與其控制下的系統進行通訊。 - Impact
影響事件主要試圖直接降低系統、服務或網路的可用性或完整性,包括操縱資料以影響業務或營運流程。這通常指的是勒索軟體、竄改、資料操縱等技術。
修復告警與自動回應
在 Defender for Cloud 的概述頁面中,選擇頁面頂部的 Defender for Cloud 標籤或側邊欄上的連結。
從安全警報清單中,選擇一個告警。將開啟側窗格並顯示警報和所有受影響資源的描述。
關於更多資訊,選擇View full details。
安全告警頁面的左窗格顯示有關安全告警的High-level資訊:標題、嚴重性、狀態、活動時間、可疑活動的描述以及受影響的資源。除了受影響的資源之外,還有與此資源相關的 Azure tags。在調查告警時,使用標籤來推斷資源的背景脈絡。
右側窗格包括「Alert details」選項,其中包含告警的更多詳細資訊,可協助調查問題:IP 位址、檔案、process等。
右側窗格中還有「Take action」頁籤。使用此選項可以針對告警採取進一步的操作。行動例如:
- Mitigate the threat— 為此安全告警提供手動修復步驟
- Prevent future attacks — 提供安全建議,幫助減少攻擊面、增強安全態勢,從而防止未來的攻擊
- Trigger automated response — 觸發一個logic app作為對此安全警報的回應的選項
- Suppress similar alerts — 如果告警與我們的組織不相關,則提供抑制具有類似特徵的未來警報的選項
自動流程
每個安全方案都包含多個事故回應作業流程。這些流程可能包括通知相關利害關係人、啟動變更管理流程以及應用特定的補救步驟。我們應該盡可能自動化這些流程的步驟。自動化減少了管理成本。它還可以確保流程步驟快速、具一致性並根據預定義要求完成,從而提高安全性。
此功能可以觸發Logic Apps的安全告警和建議。例如,我們可能希望 Defender for Cloud 在發生告警時向特定使用者發送Line通知。
建立logic app並定義何時執行它
從 Defender for Cloud 的側邊欄中,選擇Workflow automation。
在此頁面中,可以建立新的自動化規則並啟用、停用或刪除現有規則。
若要定義新工作流程,選擇Add workflow automation。
這將出現一個視窗,其中包含新自動化的選項。在這裡可以輸入:
- 自動化的名稱和描述
- 將啟動此自動工作流程的觸發器。例如,可能希望Logic app在產生包含「SQL」的安全告警時執行
- 當滿足觸發條件時將運行的Logic app
從「Actions」部分中,選擇「Create a new one」以開始Logic app建立流程。我們將會被轉到 Azure Logic Apps:
- 輸入名稱、資源群組和位置,然後選擇「建立」。
- 在新的Logic app中,可以從安全類別中的內建預設範本中進行選擇。或者,可以定義觸發此流程時要發生的自訂事件流。
Logic app designer支援以下 Defender for Cloud triggers:
- When a Defender for Cloud Recommendation is created or triggered — 如果Logic app依賴已棄用或被取代的recommendation,自動化將停止運作。然後我們需要更新trigger。
- When a Defender for Cloud Alert is created or triggered— 您以自訂trigger,使其只與我們相關的嚴重性等級的告警相關。
定義Logic app後,返回workflow automation definition視窗。選擇“Refresh”以確保新的Logic app可供選擇。
選擇Logic app並儲存自動化。Logic app下拉清單僅顯示支援上述 Defender for Cloud connectors的Logic app。
抑制或關掉告警
Defender for Cloud plan可偵測環境中任何區域的威脅並產生安全告警。當單一告警跟我們的環境不相關時,可以手動將其關閉。或者,使用抑制規則( suppression rules)功能自動消除將來類似的告警報。通常,可以使用抑制規則來:
- 抑制我們識別為假警報的告警
- 抑制過於頻繁觸發而無用的告警
抑制規則定義了自動消除告警的標準。抑制規則只能消除已在選定訂閱上觸發的告警。
建立抑制規則
直接在 Azure 網站建立規則:
來自 Defender for Cloud 的security alerts頁面:
- 找到我們不想再看到的特定告警,然後從告警的省略號選單 (…) 中選擇建立抑制規則:
或者
- 選擇頁面頂部的suppression rules link,然後從抑制規則頁面中選擇建立新的抑制規則:
在新的抑制規則視窗中,輸入新規則的詳細資訊。
- 我們的規則可以消除所有資源上的告警,這樣以後就不會收到類似這樣的告警。
- 當告警與特定 IP 位址、process name、使用者帳號、Azure 資源或位置相關時,規則可以根據特定條件消除告警。
輸入規則的詳細資訊:
- Name — 規則的名稱。規則名稱必須以字母或數字開頭,長度介於 2 到 50 個字元之間,且不包含除破折號 (-) 或底線 (_) 之外的任何符號。
- State — 啟用或停用。
- Reason — 選擇內建原因之一,如果無法滿足需求,則選擇「其他」。
- Exiration date — 規則的結束日期和時間。規則最多可以運作六個月。
或者,使用「Simulate」按鈕測試規則,看看如果此規則處於活動狀態,將消除多少告警。
檢視抑制告警
仍會產生與我們啟用的抑制規則相符的告警,但其狀態將設定為已關閉。可以在 Azure 網站中查看狀態,也可以透過任何方式存取 Defender for Cloud 安全性告警。
使用 Defender for Cloud 的filter查看已被我們的規則忽略的告警報。
- 在 Defender for Cloud 的安全告警頁面中,開啟filter選項,然後選擇「Dismissed」。
產生威脅情資報告
即使對於最熟練的安全分析師來說,分類和調查安全告警也可能非常耗時。對許多人來說,很難知道從哪裡開始。
Defender for Cloud 使用分析來連接不同安全告警之間的資訊。使用這些連接,Defender for Cloud 可以提供攻擊活動及其相關告警的單一視圖,以幫助我們了解攻擊者的行動和受影響的資源。
事故顯示在安全告警頁面上。選擇一個事故以查看相關告警並取得更多資訊。
在 Defender for Cloud 概述頁面上,選擇安全告警。列出了事故和告警。請注意,安全事故具有與安全告警不同的圖示。
安全事故頁面的左窗格顯示有關安全事故的High-levle資訊:標題、嚴重性、狀態、活動時間、描述和受影響的資源。在受影響的資源旁邊,可以看到相關的 Azure tags。在調查告警時,使用這些標籤來推斷資源的背景脈絡。
右窗格包括「Alerts」選項,其中包含與此事故相關的安全告警。
若要切換至「Take action」頁籤,請選擇右側窗格底部的標籤或按鈕。使用此選項可以採取進一步的操作,例如:
- 減緩威脅 — 提供針對此安全事故的手動修復步驟
- 防止未來的攻擊 — 提供安全建議,幫助減少攻擊面、增強安全態勢並防止未來的攻擊
- 觸發自動回應 — 提供觸發邏輯應用程式作為對此安全事件的回應的選項
- 抑制類似告警 — 如果告警與我們的組織不相關,則提供抑制具有類似特徵的未來告警的選項
若要修復事故中的威脅,請按照每個告警提供的修復步驟進行操作。
Defender for Cloud threat protection的作業原理是監視來自 Azure 資源、網路和連接的合作夥伴解決方案的安全資訊。它分析這些資料,通常將多個來源的資料關聯起來,以識別威脅。
當 Defender for Cloud 識別到威脅時,它會觸發安全告警,其中包含有關該事件的詳細資訊,包括補救建議。 Defender for Cloud 提供威脅情資報告,其中包含有關偵測到的威脅的資訊,以幫助事故回應團隊調查和補救威脅。該報告包括以下資訊:
- Attacker’s identity or associations (if this information is available)
- Attackers’ objectives
- Current and historical attack campaigns (if this information is available)
- Attackers’ tactics, tools, and procedures
- Associated indicators of compromise (IoC) such as URLs and file hashes
- Victimology, which is the industry and geographic prevalence to assist you in determining if your Azure resources are at risk
- Mitigation and remediation information
Defender for Cloud 有三種類型的威脅報告,根據攻擊的不同而有所不同。可用的報告有:
- Activity Group Report:深入了解攻擊者、他們的目標和戰術。
- Campaign Report:聚焦特定攻擊活動的詳細資訊。
- Threat Summary Report:涵蓋前兩份報告中的所有項目。
此類資訊在事故回應過程中非常有用,其中正在進行調查以了解攻擊來源、攻擊者的動機以及將來如何緩解此問題。
產生報告:
- 從 Defender for Cloud 的側邊欄中,開啟Security alerts頁面。
- 選擇一個告警。將開啟告警詳細資訊頁面,其中包含有關告警的更多詳細資訊。以下是偵測到的勒索軟體指示器告警詳細資訊頁面。
回應來自 Azure 資源的告警
Key Vault
當收到來自 Defender for Key Vault 的告警時,我們英按如下所述調查並回應告警。 Defender for Key Vault 可保護應用程式和憑證,因此即使熟悉觸發告警的應用程式或使用者,驗證每個告警周圍的情況也很重要。
Defender for Key Vault 發出的每個告警都包含以下元素:
- Object ID
- User Principal Name or IP Address of the suspicious resource
聯絡該聯絡的人:
- 驗證流量是否源自 Azure tenant內部。如果啟用了 Key Vault 防火牆,則可能已向觸發此告警的使用者或應用程式提供了存取權限。
- 如果無法驗證流量來源,請繼續步驟 2. 立即緩解(Immediate mitigation)。
- 如果可以確定tenant中的流量來源,請聯絡應用程式的使用者或擁有者。
立即緩解(Immediate mitigation):
如果不認識該使用者或應用程式,或者認為不應授權存取:
如果流量來自無法辨識的 IP 位址:
- 依照設定 Azure Key Vault 防火牆和虛擬網路中所述啟用 Azure Key Vault 防火牆。
- 使用可信任資源和虛擬網路設定防火牆。
如果告警來源是未經授權的應用程式或可疑使用者:
- 開啟key vault的 access policy settings。
- 刪除對應的security principal,或限制security principal可以執行的操作。
如果告警來源在我們的tenant中具有 Microsoft Entra role:
- 請管理員。
- 確定是否需要減少或撤銷 Microsoft Entra 權限。
辨識影響
當影響減緩後,調查key vault中受影響的secrets:
- 開啟 Azure Key Vault 上的「Security」頁面並查看觸發的告警。
- 選擇觸發的特定告警。查看已存取的secrets清單和timestamp。
- 或者,如果啟用了key vault diagnostic logs,查看對應的caller IP、user principal或object ID 的先前操作。
採取行動
當您編譯了可疑使用者或應用程式存取了secrets、key和certificates的清單時,應該立即輪替這些物件。
- 應停用或從 key vault中刪除受影響的secrets。
- 如果憑證用於特定應用程式:
— 聯絡應用程式的管理員,並要求他們檢視其環境,以查看自受損憑證洩露以來的任何使用情況。
— 如果使用了洩漏的憑證,應用程式擁有者應識別被存取的資訊並減緩影響。
DNS
當收到來自 Defender for DNS 的告警時,我們應按如下所述調查並回應告警。
請聯絡資源所有者以確定該行為是預期的還是有意的。
- 如果該活動是預期的,則消除告警。
- 如果活動是非預期的,請將資源視為可能受到損害,並按照下一步中所述進行緩解。
將資源與網路隔離,防止橫向移動。
- 根據產生的補救建議,對資源執行完整的反惡意軟體掃描。
- 檢查資源上已安裝和正在運行的軟體,刪除任何未知或不需要的軟體包。
- 將系統恢復到已知的良好狀態,必要時重新安裝作業系統,並從經過驗證的無惡意軟體來源恢復軟體。
- 解決針對機器的任何 Defender for Cloud 建議,修復較明顯的安全問題以防止未來發生違規行為。
Resource Manager
聯絡資源所有者以確定該行為是預期的還是有意的。
- 如果該活動是預期的,則消除告警。
- 如果活動是非預期的,請將相關使用者帳號、訂閱和VM視為已受到威脅,並按照以下步驟所述進行緩解。
修復有問題的使用者帳號:
- 如果沒有人認領,將其刪除,因為它們可能是由駭客創建的
- 如果有人認領,請更改他們的 authentication credentials
- 使用 Azure Activity Logs查看使用者執行的所有活動並識別任何可疑的活動
修復有問題的訂閱:
- 從有問題的自動化帳號中刪除任何不認識的 Runbook
- 檢查訂閱的 IAM 權限並刪除任何不認識的使用者帳號的權限
- 查看訂閱中的所有 Azure 資源並刪除任何不認識的資源
- 在 Defender for Cloud 中查看並調查訂閱的任何安全告警
- 使用 Azure Activity Logs查看訂閱中執行的所有活動並識別任何可疑活動
修復有問題的VM
- 更改所有使用者的密碼
- 在電腦上執行完整的反惡意軟體掃描
- 從無惡意軟體的來源Reimage機器
