針對(duì)企業(yè)云端安全監(jiān)控的這一重要需求,我們?cè)O(shè)計(jì)了 一套可以一鍵部署,也可以動(dòng)態(tài)調(diào)整的安全監(jiān)控模板方案, 希望可以給客戶帶來(lái)最直觀的安全監(jiān)控方案以及后續(xù)深入調(diào)查的平臺(tái)。
接下來(lái)我們就會(huì)通過(guò)一個(gè) demo 環(huán)境演示整套方案是如何帶給客戶安全監(jiān)控的能力。
首先我們一起來(lái)看下方案的組成部分:
基于很多用戶對(duì)于云環(huán)境的需求大多都是起始于搭建一些對(duì)外的,面向全網(wǎng)的服務(wù),從而能夠把一些風(fēng)險(xiǎn)從本地?cái)?shù)據(jù)中心中隔離轉(zhuǎn)移出去,以及保證業(yè)務(wù)的靈活搭建,快速響應(yīng)市場(chǎng)的需求。因此這些業(yè)務(wù)將會(huì)是很多攻擊者眼中最直接的攻擊目標(biāo),利用其暴露的 IP 和端口,發(fā)起一輪又一輪的攻擊。
因此,我們?cè)O(shè)計(jì)了階段一對(duì)于全網(wǎng)環(huán)境的網(wǎng)絡(luò)日志的監(jiān)控和分析,借助網(wǎng)絡(luò)觀察程序搜集到的各個(gè)網(wǎng)絡(luò)安全組上的日志,再利用日志分析工具(Log Analytics)從諸如可疑 IP 的訪問(wèn)、每日流量的觀察、內(nèi)部網(wǎng)段互訪等維度來(lái)幫助企業(yè)的安全團(tuán)隊(duì)定位一些存在風(fēng)險(xiǎn)的虛擬機(jī)。
經(jīng)過(guò)了階段一,企業(yè)安全團(tuán)隊(duì)將會(huì)從網(wǎng)絡(luò)層對(duì)于企業(yè)的網(wǎng)絡(luò)情況有了一個(gè)全局的可見(jiàn)性,之后根據(jù)從業(yè)務(wù)端的理解和梳理,就能夠初步甄別一些危險(xiǎn)信號(hào),定位一些可疑的終端目標(biāo)。接下來(lái)就需要通過(guò)階段二進(jìn)入到具體的終端服務(wù)器上的日志,通過(guò)分析具體的行為來(lái)判定機(jī)器是否存在異常。
在進(jìn)入階段二的高風(fēng)險(xiǎn)機(jī)器中,我們需要通過(guò)終端服務(wù)器的日志的具體行為,利用 Azure Defender( 原名 Azure Security Center)或者 Microsoft Defender for Endpoint( 原名 Microsoft Defender ATP)根據(jù) MITRE ATT&CK 上所定義的,以及微軟安全團(tuán)隊(duì)總結(jié)的一些與當(dāng)年威脅相關(guān)的動(dòng)作,對(duì)應(yīng)到具體的 SysLog 或者 Windows Events 中的具體日志,監(jiān)控和狩獵是否存在一些異常情況,來(lái)最終確定機(jī)器是否存在泄漏的問(wèn)題。
當(dāng)客戶經(jīng)過(guò)一段時(shí)間的觀測(cè)和梳理,逐漸掌握了云端各個(gè)資源的正常業(yè)務(wù)情況,便可以進(jìn)入階段三,通過(guò) Sentinel 接入更多的非 Azure 云端的系統(tǒng),利用同一套監(jiān)控邏輯和日常安全運(yùn)維的思路,統(tǒng)一管理本地的或者第三方云端的虛擬機(jī)集群。當(dāng)然也可以加入更多的第三方的安全設(shè)備,建立更多維度的安全監(jiān)控服務(wù),提升企業(yè)的安全監(jiān)控等級(jí)。
接下來(lái),我們就一起來(lái)看下客戶可以通過(guò)預(yù)設(shè)的模板一鍵部署以后能夠用來(lái)監(jiān)控的各個(gè)維度:
通過(guò)該模板,首先客戶可以從幾個(gè)關(guān)鍵的維度出發(fā),來(lái)掌握云端資源在網(wǎng)絡(luò)層面的一些行為,例如總的流量的實(shí)時(shí)進(jìn)出,細(xì)化到各個(gè)機(jī)器,各個(gè)子網(wǎng)段的情況;另外還能從可疑 IP 對(duì)于公司資源的訪問(wèn)情況,細(xì)化到對(duì)于每臺(tái)機(jī)器、每個(gè)端口的訪問(wèn)情況。如下圖所示就是客戶從網(wǎng)絡(luò)端可以觀察到的維度,這些維度可以給到客戶對(duì)于整個(gè)云端網(wǎng)絡(luò)層的運(yùn)行狀態(tài)的大致?tīng)顟B(tài)的理解,后續(xù)可以再根據(jù)相應(yīng)的異常狀態(tài)進(jìn)行深入的分析,例如下圖一所示,可以看到 Denied Flow 在某幾天的特定時(shí)段有個(gè)指數(shù)級(jí)的暴增,這就需要深入調(diào)查這些 Flow 指的是對(duì)應(yīng)到哪些 IP 的攻擊,攻擊的是什么端口,來(lái)源是哪里等。
另外補(bǔ)充一點(diǎn),對(duì)于可疑 IP 的定義是動(dòng)態(tài)變化的一個(gè)區(qū)間,如果想要對(duì)可疑 IP 的可信度進(jìn)一步驗(yàn)證或者了解具體的 IP 源為何處,大家可以參考以下網(wǎng)站,輸入 IP 進(jìn)行進(jìn)一步的了解:
https://www.virustotal.com/gui/home/search
這邊我們嘗試搜索上述實(shí)例中排在攻擊我們 Demo 環(huán)境第二多的來(lái)自 CN 的 IP:
首先我們會(huì)看到這個(gè) IP 的源是哪里(可見(jiàn)云資源對(duì)于任何使用者都是十分便捷的資源),可以看到具體被全球哪幾個(gè)機(jī)構(gòu)標(biāo)記成了 Malicious IP 的記號(hào)。
以上就是我們?cè)诘谝浑A段,通過(guò)網(wǎng)絡(luò)層每個(gè)網(wǎng)絡(luò)安全組上所落點(diǎn)的所有東西向、南北向流量的日志的初步統(tǒng)計(jì)和分析結(jié)果,客戶的安全團(tuán)隊(duì)可以通過(guò)一些排名和總計(jì),動(dòng)態(tài)掌握每周或者每月哪些服務(wù)器是需要重點(diǎn)關(guān)注的。有了以上的初步定義以后,便可以通過(guò)抓取和分析終端機(jī)上的日志來(lái)了解具體終端機(jī)和用戶的行為,來(lái)做進(jìn)一步的判斷。
同樣在虛機(jī)層面,我們也針對(duì)一些維度提供了一些已經(jīng)預(yù)先寫(xiě)好的查詢語(yǔ)句,幫助客戶安全團(tuán)隊(duì)快速掌握整個(gè)局面。針對(duì)單機(jī)的檢查,我們提供了以下三個(gè)維度的情況:身份登錄情況、補(bǔ)丁情況以及異常進(jìn)行的情況。
身份登錄檢查
終端機(jī)上的用戶行為分析是比較直觀以及能夠快速跟業(yè)務(wù)部門(mén)溝通了解情況的維度,因此這里通過(guò)把 Windows Events 中和身份相關(guān)的 事件都做了搜集和排名,可以快速的掌握各個(gè)賬戶相對(duì)應(yīng)的行為情況。此外,這里還按照具體賬號(hào)的維度,以及單點(diǎn)服務(wù)器的維度展開(kāi)了各類事件發(fā)生的頻率和變化趨勢(shì),從而有助于客戶的安全團(tuán)隊(duì)能夠快速通過(guò)是否有新的賬號(hào)的登錄或者是單臺(tái)服務(wù)器上是否有新的事件產(chǎn)生等信息,快速判斷出對(duì)應(yīng)服務(wù)器是否存在異常。
補(bǔ)丁情況檢查
補(bǔ)丁檢查一直以來(lái)都是客戶在做資產(chǎn)清點(diǎn)和固件維護(hù)中十分重要的一環(huán),由于云端業(yè)務(wù)的快速拉起以及影子 IT 的影響,這部分信息可能也無(wú)法在云端被實(shí)時(shí)掌控,而只要通過(guò)此部分的監(jiān)控面板,客戶就能很清楚的看到所監(jiān)控的環(huán)境中有多少機(jī)器缺乏多少補(bǔ)丁,并且可以根據(jù)單臺(tái)服務(wù)器詳細(xì)展開(kāi)其缺失的補(bǔ)丁,快速掌握新上線服務(wù)器的系統(tǒng)狀態(tài)。
進(jìn)程情況檢查
在終端服務(wù)器上,另一個(gè)最直觀的反應(yīng)就是可疑進(jìn)程,同樣的,在這個(gè)維度,客戶的安全團(tuán)隊(duì)可以在面板上快速根據(jù)進(jìn)程名字,進(jìn)程的行為(Windows Events),終端服務(wù)器,用戶以及時(shí)間等維度快速了解對(duì)應(yīng)的情況,比如是否在非工作時(shí)間,一些服務(wù)器上有些異常的進(jìn)程。如上圖 Demo 中所示,在 BigDataS 這臺(tái)機(jī)器上,CMD 在下班時(shí)間短時(shí)間內(nèi)運(yùn)行了28次,這個(gè)異于日常的操作馬上就會(huì)引起安全團(tuán)隊(duì)的警覺(jué),需要進(jìn)一步做深入的調(diào)查。
使用以上的云原生監(jiān)控面板,可以通過(guò)網(wǎng)絡(luò)端抓取并分析全網(wǎng)的流量情況,由面定點(diǎn),多維度的定位企業(yè)的疑似風(fēng)險(xiǎn)服務(wù)器,再通過(guò)針對(duì)終端機(jī)的分析,全面排查風(fēng)險(xiǎn)服務(wù)器的情況,真正做到動(dòng)態(tài)監(jiān)控企業(yè)的云端環(huán)境,幫助企業(yè)構(gòu)建 SecOps 的能力。那在后續(xù)的文章中,我們會(huì)通過(guò)一個(gè) Demo 環(huán)境的演示來(lái)展示如何利用現(xiàn)有的監(jiān)控面板對(duì)突發(fā)情況做深入的調(diào)查與分析,敬請(qǐng)期待!來(lái)源:微軟科技
